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译 者 序 


提 一 个 问题 : ee a 达 . 芬 奇 
非凡 的 绘画 技巧 ， 还 融合 了 他 对 人 体 解剖 学 和 黄金 分 割 律 等 诸多 0 
应 用 。 不 同 范畴 的 技术 一 经 交汇 ， 往 往 能 碰撞 出 迷人 的 火花 ， (六 好 站 小》 人 
是 个 极 好 的 例子 。 


在 茫茫 书 海 中 挑 出 了 这 本 书 的 你 ， 主 我 茶 喜 你 一 下 ， 如 果 想 要 系统 地 学 习 服 务 
器 端 网 络 架 构 知 识 并 希望 学 以 致 用 ， 这 绝对 是 当前 已 出 版 的 书籍 中 最 好 的 一 
本 。 不 管 你 是 网 络 架 构 师 、 服 务 郁 工程 师 ， 还 是 二 者 兼顾 多 元 并 修 的 IT 技术 牛 
人 ， 这 本 书 剖 能 让 你 句 然 开 表 、 如 虎 添 中 ! 


计算 机 之 间 的 网 络 互 连 始 于 20 世纪 80 年 代 。 在 我 国 ， 互 联网 从 1997 年 才 开始 
得 到 真正 的 发 展 。 网 络 架 构 本 身 就 是 非常 年 轻 的 技术 ， 谈 到 服务 器 端 网 络 架 构 
这 个 更 为 细 化 的 范畴 ， 就 更 是 缺少 系统 化 的 指南 和 探讨 了 。 悄悄 地 问 一 下 自 
己 ， 定 苞 网 络 设计 中 的 每 项 设计 工程 分 别 是 为 哪个 OSI 层 服务 的 吗 ? 如 有 果 回 答 
是 否定 的 ， 是 不 是 有 点 担心 设计 内 容 会 漏洞 百出 呢 ? 没关系 ， 悄 悄 地 读 透 这 本 
秘籍 吧 ， 它 会 让 你 的 功力 在 不 知 不 觉 中 大 增 的 。 


看 到 这 你 是 不 是 在 担心 这 本 书 对 目 己 来 说 太 过 高 大 上 ， 害 性 无 法 区 驭 呢 ? 
请 放心 ， 这 环 书 的 村 并 不 算 高 即便 是 初 学 者 也 能 看 全 。 当 你 踏 踏实 实 跨 过 
这 道门 槛 后 更 加 丰富 立体 的 世界 就 会 展现 在 你 的 眼前 。 la 
网 络 染 & 构 师 和 服务 器 抓 一 大 把 ， 但 能 够 将 二 者 有 机 结合 并 且 运 用 
目 如 的 技术 人 员 却 并 不 多 见 。 这 本 书 或 许 不 能 让 你 一 口气 临摹 出 有 如 成 品 的 


《 蒙 娜 丽 莎 》， 但 起 码 能 让 你 慢 慢 勾勒 出 深 得 名 画 精 散 的 素描 图 ， 那 是 不 是 也 
很 厉害 呢 ? 


总 结 起 来 ， 这 本 书 除了 系统 化 的 讲解 之 外 还 具有 以 下 两 大 特色 。 


(1) 细致 。 拿 到 原稿 时 首 移 让 我 惊讶 的 是 ， 居 然 有 一 个 章节 (第 0 章 ) 是 专门 
讲解 如 何 通 虎 到 了 许多 容易 忽视 但 非常 重 这 本 书 的 。 学 习 讲 究 提 纲 莉 领 ， 这 本 
书 细致 到 了 告诉 读者 应 该 怎样 去 提纲 齐 领 ， 实 属 难得 。 书 中 还 提要 的 设计 细 
Ty 信服 


(2) 实用 。 入 门 书 容易 偏重 于 理论 讲解 而 缺少 实例 说 明 ， 本 书 却 列举 了 大 量 活 
生生 的 例子 ， 对 实战 人 员 来 说 具有 真正 的 参考 价值 ， 其 中 不 乏 让 人 哈哈 大 笑 的 
失败 事例 。 而 且 图 文 并 成 ，400 多 张 辅 助 说 明 的 图 浅显 易 履 ， 让 你 大 呼 “So 


easy” ° 


顺便 提 一 句 ， 原 书 出 目 日 本 软银 公司 旗下 的 出 版 社 ， 软 银 公司 实力 如 何 世人 客 
知 ， 它 旗下 的 出 版 社 眼 力 向 来 不 俗 ， 相信 读 过 本 书后 你 也 一 定 会 赞同 。 


我 是 抱 着 虚心 学 习 的 态度 完成 这 本 书 的 翻译 的 。 虽 然 从 事 代行 业已 近 十 年 ， 兼 
做 翻译 〈 含 口译 ) 也 有 十 来 年 的 丰富 经 验 ， 但 对 网 络 技术 和 基础 架构 毕竟 未 曾 
做 过 深入 的 专攻 ， 以 至 于 对 某 些 内 容 和 文字 的 考证 推 疗 到 了 “ 战 战 殉 殊 ， 如 履 薄 
冰 ” 的 地 步 。 不 过 也 正 因为 如 此 ， 在 翻译 的 过 程 中 我 非常 真切 地 体会 到 了 该 书 浅 
显 易 懂 的 写作 风格 和 接触 到 新 知识 痢 技 能 时 的 无 穷 乐 趣 。 感 谢 人 民 邮 电 出 版 社 
图 灵 公 司 让 我 见识 到 了 不 一 样 的 风景 ， 感 谢 高 字 池 老师 在 编校 中 付出 的 茸 勤 荔 
动 ， 衷 心 布 望 这 本 书 能 为 读者 们 开启 一 情 窗 口 ， 让 大 家 看 到 男 一 片 海阔天空 。 
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前 言 


关于 本 书 
本 书 将 为 你 讲述 服务 器 端 网 络 架构 中 的 基础 技术 和 设计 要 点 。 


最 近 出 现 了 一 股 回 归 场 内 服务 (On-premises， 也 称 内 部 部 署 ， 即 公司 内 部 运 

行 ) 的 新 潮流 ， 颇 有 与 云 计 算 这 股 时 代 大 淹 相 抗衡 的 趋势 。 将 所 有 的 数据 都 存 
放 在 云 上 是 否 安全 ? 人 们 这 种 不 安 的 心理 引发 了 对 场 内 服务 的 回归 ， 还 滋生 了 
男 一 种 新 的 潮流 一 一 云 计算 和 场 内 服务 的 混合 体 。 在 这 样 不 断 变 化 的 大 环境 


中 ， 笔 者 认为 场 内 服务 仍 将 继续 存在 下 去 。 本 书 就 将 结合 图 表 ， 详 细 说 明 其 中 
服务 避 端 网 络 避 构 的 基础 技术 和 设计 要 点 。 


最 近 这 几 年 ， 在 服务 器 端 网 络 使 用 的 基础 通信 技术 并 没有 太 大 的 进步 。 服 务 器 
端 大 多 设 在 绝 不 允许 服务 中 断 的 关键 任务 环境 中 ， 新 技术 很 难 渗透 ， 也 很 难 植 
根 于 这 样 的 环境 。 但 正 因 如 此 ， 服 务 器 端的 多 余部 分 才 得 以 别 除 ， 形 成 了 非常 
精简 单纯 的 风格 。 网 络 的 基础 技术 可 以 说 已 经 成 型 了 ， 然 而 在 网 络 上 运行 的 网 
络 设备 和 服务 器 的 技术 仍然 踩 着 现在 进行 时 的 节奏 在 持续 不 断 地 爆发 性 发 展 ， 
由 此 出 现 了 虚拟 技术 和 网 络 存储 技术 等 基于 网 络 的 创新 技术 。 如 今 ， 它 们 已 在 
系统 中 不 可 或 缺 。 随 着 这 些 技术 的 发 展 ， 人 们 追求 的 网 络 形态 和 网 络 设计 的 方 
人 基础 架构 工程 师 和 服务 器 工程 师 必须 能 灵活 应 对 这 些 
变化 才 行 。 


在 网 络 世界 里 ， 无 论 出 现 怎 样 的 新 技术 ， 基 础 部 分 都 不 会 有 太 大 的 变化 ， 无 非 
征 在 菜 些 地 方 对 某 些 功能 分 而 化 之 ， 或 是 恰恰 相反 ， 将 某 些 地 方 的 茶 些 功能 整 
而 合 之 ， 使 它们 周而复始 地 聚 散 离合 而 已 。 正 因为 基础 扩 术 早已 成 型 ， 才 需要 
我 们 更 深入 、 更 扎实 地 掌握 它们 。 只 要 掌握 好 基础 部 分 ， 那 么 无 论 上 层 运 行 的 
是 什么 技术 和 设备 ， 我 们 都 能 够 沉着 应 对 ， 决 不 会 乱 了 阵脚 。 


但 是 ， 最 近 重 视 需 求 定义 和 基础 设计 这 些 上 游 工程 而 轻视 详细 设计 和 具体 架构 
这 些 下 游 工 程 的 事例 有 增 无 减 。 上 游 工 程 当然 是 重要 的 ， 而 且 “ 仅 了 解 技术 概要 
即 可 ”这 种 想法 的 确 会 市 来 更 高 的 效率 ， 有 它 一 定 的 道理 。 不 过 ， 笔 者 对 这 种 说 
法 有 企 下 族 工 程 中 设置 过 多 少 台 机 大 、 经 历 过 多 少 次 问 

员 ， 最 后 终究 会 反映 到 上 游 工 程 中 ， 反 映 出 我 们 作为 基础 架构 或 网 络 工程 师 的 
底 玖 和 说 话 的 分 量 。 没 接触 过 设备 ， 就 不 知道 哪里 才 是 关键 ， 不 知道 发 生 问题 
时 应 该 如 何 处 理 。 而 且 ， 仅 仅 将 操作 手册 和 规格 说 明 书 里 的 内 容 加 回春 赤 后 束 
去 法 试 系统 琳 构 ， 这 种 网 络 设计 手法 也 是 大 错 特 错 甩 。 oe 
明 书 里 毕竟 只 写 了 设备 所 具有 的 功能 ， 何 况 在 需要 绝对 稳定 的 网 络 世 界 里 ,，“ 理 
解 ? 和 ' 操作 .是 两 个 相去 甚 远 的 不 同 概念 。 。 现在， 不 仅 存在 虚拟 环境 ， 又 有 有 很 多 
在 其 中 运行 的 虚拟 专用 机 试用 版 可 供 使 用 ， 和 以 往 相 比 ， 我 们 可 以 更 方便 地 进 
行 尝试 和 验证 。 所 以 ， 在 掌握 好 基础 部 分 之 后 ， 还 是 需要 FE i 在 
这 个 过 程 中 经 历 各 种 设置 和 各 色 问 题 后 ， 我 们 才能 迈 出 坚实 的 下 一 步 。 如 采 本 
书 能 够 成 为 众多 从 事 网 络 工作 的 工程 师 们 前 进 的 路 标 ， 第 因 定 各地 来 守 


本 书 适合 的 读者 
本 书 适合 以 下 几 类 读者 阅读 。 
想 要 设计 服务 器 端的 网 络 工程 师 


掌握 了 架构 和 测试 等 下 游 工程 的 工程 师 会 向 需求 定义 和 基础 设计 这 些 上 游 
工程 续 移 用 展 。 在 网 络 架 构 中 ， 基 础 设计 就 是 生命 线 ， 而 基础 设计 中 制定 的 


规则 决定 了 服务 器 端的 一 切 。 本 书 在 各 章 中 描述 了 基础 设计 中 应 该 确定 的 最 基 
本 的 内 容 ， 相 信和 能 在 基础 设计 中 助 你 一 臂 之 力 。 


想 要 了 解 网 络 的 服务 器 工程 师 


如 今 ， 虚 拟 化 和 网 络 存储 等 技术 已 经 成 为 了 系统 中 不 可 或 缺 的 部 分 ， 这 些 技术 
大 多 采用 的 是 基于 网 络 的 框架 结构 ， 我 们 已 经 可 以 说 服务 器 和 网 络 是 密 不 可 分 
的 。 针 对 那些 说 着 “服务 器 我 很 擅长 ， 但 网 络 就 不 太 懂 了 .…...” 的 、 稍 微 有 些 “ 偏 
0 一 定 会 让 你 喜欢 上 网 络 技术 


负责 服务 器 端 运行 和 管理 的 现场 管理 人 员 


在 长 期 的 现场 运行 中 ， 管 理 人 员 会 遇 到 种 种 问题 ， 例 如 服务 器 的 服务 出 现 差 
错 、 网 络 设备 损坏 ， 等 等 。 排 除 问题 的 捷径 只 有 一 条 ， 那 就是 好 好 学 习 基 础 技 
不。 服务 器 闹 是 一 个 由 诸多 芝 础 技术 拼接 而 成 的 世 田 ， 本 书 列 淮 了 一 一 些 架构 实 
例 ， 能 够 帮助 你 掌握 每 一 项 基础 扩 术 ， 最 终 拼接 出 一 个 完整 的 世界 
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第 0 章 本 书 的 用 法 


本 章 概要 


本 章 时 对 本 书 的 讲解 顺序 和 使 用 方法 进行 该 明 。 。 基础 设计 是 服务 硕 端 网 络 
架构 中 最 重要 的 一 个 阶段 ， 本 书 将 立足 于 基础 设计 的 设计 细 分 项 目 ， 介 绍 
各 细 分 项 目的 相关 技术 和 设计 要 点 。 基 础 设计 中 会 制定 一 些 重 要 规则 ， 这 
些 规 则 一 旦 定 下 便 不 可 动摇 ， 它 们 对 系统 今后 的 可 扩展 性 和 可 操作 性 等 ， 

力 至 对 整个 网 络 者 将 产生 重大 影响 。 为 了 各 位 读者 今后 能 够 进行 着 上 腿 于 霖 
来 的 基础 设计 ， 首 允 请 通过 本 章 了 解 如 何 使 用 本 书 。 


0.1 网 络 架 构 的 流程 


百 先 说 明 一 下 网 络 染 构 的 大 致 流程 。 各 位 在 理解 了 网 络 染 构 的 大 致 流程 之 后 ， 
就 可 以 将 该 流程 与 本 书 的 核心 一 一 基础 设计 的 设计 细 分 项 目 和 本 书 内 容 (技术 
细 分 项 目 和 设计 细 分 项 目 ) 一 一 进行 匹配 。 


0.1.1 网 络 架 构 分 为 六 个 阶段 


普通 服务 器 端的 网 络 染 构 由 六 个 阶段 构成 ， 分 别 为 需求 定义 、 基 础 设计 、 详 细 
设计 、 架 构 、 测 试 和 运行 。 各 个 阶段 并 非 完 全 独立 ， 而 是 前 一 个 阶段 为 后 一 个 
阶段 提供 输入 ， 彼 此 之 间 是 密切 相关 的 。 


0.1.1.1 需求 定义 


需求 定义 是 确认 客户 的 需求 并 将 它们 一 一 定义 出 来 的 阶段 。 客 户 会 给 出 需求 方 
案 说 明 书 (RFP，Request For Proposal) 来 描述 他 们 的 需求 ， 但 这 份 资 料 中 上 有 
需求 的 大 致 内 容 。 我 们 应 在 参考 这 份 资料 的 基础 上 听取 客户 的 具体 需求 ， 将 需 
求 明 确 和 细 化 ， 然 后 整理 成 一 份 叫 作 需求 定义 书 的 文档 。 


0.1.1.2 ”基础 设计 


| 如 条 网 络 设备 都 属于 同一 个 种 类 ， 那 

只 有 设置 方法 和 设置 对 象 不 一 样 而 已 ， 它 们 的 功能 应 该 是 大 同 小 异 的 。 所 以 
同 以 这 公议 这 里 定 下 的 规则 决定 了 后 面 的 所 有 阶段 。 对 网 络 架构 来 说 ， 这 个 
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0.1.1.3 ”详细 设计 


详细 设计 是 根据 基础 设计 中 的 信息 确定 各 机 器 参数 《 设 定 值 ) 的 阶段 。 毋 良 置 
疑 ， 设置 对 象 会 因 机 器 本 和 喘 、 机 器 种 类 和 OS 版 本 等 要 素 的 不 同 而 各 不 相同 。 我 
们 应 详细 规定 每 台 机 器 的 设 定 值 ， 保 证 无 论 是 谁 去 看 设计 书 都 能 够 完成 设置 ， 

0 我 们 还 应 将 这 里 制定 的 参数 整理 成 一 份 叫 作 详 细 设 计 书 的 


卫 


不 同 的 企业 和 供应 商 对 详细 设计 书 有 着 不 同 的 定义 。 有 的 把 记载 了 所 有 参数 的 
机 器 设置 书 和 参数 表 叫 作 详 细 设 计 书 ， 有 的 则 把 总 结 了 设 定 值 要 点 的 资料 叫 作 
详细 设计 书 ， 形 式 多 样 ， 不 一 而 足 。 所 以 ， 请 事先 向 客户 确认 好 他 们 需要 什么 
样 的 详细 设计 书 。 


0.1.1.4 ”架构 


架构 是 根据 详细 设计 书 中 的 信息 (参数 、 设 定 值 ) 对 机 器 进行 设置 的 阶段 。 详 
细 设 计 书 是 落实 设 定 值 的 资料 ， 而 在 染 构 这 个 阶段 ， 我 们 束 要 利用 这 些 信息 对 
机 器 进行 设 车 和 连接 。 妇 庸 萤 疑 ， 没 管 方法 也 因 机 器 #8 本身 、 机 器 种 类 和 OS 版 本 
等 要 素 的 不 同 而 各 不 相同 。 我 们 应 根据 设置 人 员 的 技术 水 平和 客户 的 要 求 编写 
操作 手册 和 操作 检查 表 ， 将 操作 步骤 细 化 ， 力 求 减少 设置 失误 。 


0.1.1.5 ”测试 


测试 是 指 在 完成 架构 的 环境 中 进行 单元 测试 、 正 常 测试 、 故 障 〈 宛 余 化 ) 测试 
等 各 种 测试 。 测 试 前 我 们 应 编写 测试 规格 说 明 书 和 测试 计划 书 ， 然 后 根据 资料 
中 的 测试 事项 进行 测试 ， 最 后 将 结果 整理 成 一 份 叫 作 测试 报告 的 文档 。 


在 单元 测试 中 应 确认 例如 LED 能 和 否 正 常 亮 灯 、OS 能 否 以 预想 的 版 本 正常 局 
动 、 接 口 能 否 衔接 等 事项 ， 以 此 来 确认 单机 是 否 能 正常 运行 。 


在 正常 测试 中 应 确认 机 器 在 连接 的 环境 中 是 否 按 我 们 设想 的 那样 接 通 、 是 否 能 
进行 应 用 通信 、 是 否 组 成 了 见 余 结构 、 是 否 能 进行 Syslog、SNMP、NTP 等 管理 
通信 等 事项 ， 以 此 来 确认 各 相关 机 器 能 否 彼 此 协作 运行 。 


在 故障 测试 中 应 针对 万 有 进行 了 见 余 瑟 置 岂 设备 确认 如 下 地 项 : 当 该 处 发 生 故 
障 时 能 否 继续 提供 服务 ， 出 现 故 障 时 会 发 送 怎样 的 日 志 ， 等 等 


0.1.1.6 “运行 


运行 是 为 了 持续 稳定 地 提供 完成 架构 的 系 乡 并 不 是 淋 构 完 系统 
就 万 事 大 吉 了 ， 而 从 这 里 才刚 刚 开始 起 步 ， 以 后 可 能 有 些 机 件 会 损坏 ， 也 可 能 

会 项 要 其 甬 服务 器 “所 以 ”除了 昌 芝 操作 之 外 我 们 下 名 多 方 考虑 ， 做 天 有 备 无 
患 。 我 们 应 将 所 有 和 运行 相关 的 业务 整理 成 一 份 叫 作 运行 手册 的 文档 。 


Ti 


FF- 


四 需求 定义 : 
;| ”明确 客户 的 需求 并 逐一 定义 。 上 


加 基础 设计 二 
确定 网 络 的 规则 基础 设计 书 
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: @ 详 细 设 计 PN- 
: 确定 各 机 器 的 各 种 参数 3 


图 架构 : i 
根据 详细 设计 的 参数 进行 设置 。 | 


运行 手册 


图 0.1.1 网 络 架构 分 为 六 个 阶段 


0.1.2 ”网 络 架构 的 重点 是 基础 设计 


网 络 染 构 中 最 重要 的 阶段 就 是 基础 设计 阶段 。 基 础 设计 中 确定 的 规则 对 系统 以 
后 的 可 扩展 性 和 可 操作 性 等 ， 乃 至 对 整个 网 络 都 将 产生 重大 影响 。 由 于 不 同 的 
客户 对 基础 设计 的 程度 会 有 不 同 的 要 求 ， 我 们 应 在 一 开始 就 向 客户 确认 他 们 所 
需要 的 程度 ， 然 后 根据 他 们 的 具体 要 求 进行 基础 设计 。 如 果 有 其 他 的 现 有 系统 
人 不 妨 去 察看 一 下 该 系统 的 基础 设计 书 ， 了 解 设计 书 大 致 处 于 怎样 的 水 


关于 服务 器 端的 网 络 架构 ， 本 书 将 重点 介 绍 基础 设计 这 一 最 重要 的 阶段 ， 并 对 
各 设计 细 分 项 目 所 需 的 技术 和 设计 要 点 进行 说 明 。 通 服 务 器 端的 网 络 架 构 基 
础 设计 可 大 致 分 为 物理 设计 、 逻 辑 设计 、 安 全 设计 与 负载 均衡 设计 、 高 可 用 性 


设计 、 管 理 设计 这 五 个 设计 细 分 项 目 。 当 然 这 些 只 是 一 般 的 例子 ， 设 计 细 分 项 
目 会 因 客 户 需 求 、 服 务 性 质 等 的 不 同 而 不 同 。 我 们 可 根据 实际 需要 自行 调整 ， 
对 这 些 细 分 项 目 进行 切 分 、 删 除 和 添加 。 


接 下 来 要 对 各 设计 细 分 项 目的 概要 以 及 本 书 中 与 各 设计 细 分 项 目 相关 的 技术 细 
分 项 目 和 设计 细 分 项 目 进行 梳理 和 说 明 。 和 希望 答 试 物理 设计 的 读者 请 参看 第 1 
章 ， 希望 党 试 逻辑 设计 的 读者 请 参看 第 2 章 。 


半 符 或 定义 
明 秦 客户 的 需求 并 过 一 定义 


人 天 友 设计 : 
2 确定 沽 络 的 规则 中 ;3 


远洋 二 设计 i |: 
: 议定 各 机 吴 的 备 秘 参数 : 
: 人 @ 某 检 :i ;6 Re EE 
:| 。 根 担 详 细 设 计 的 参数 进行 设 昨 |; :| 0 : 
: 上 | 53 33 是 : 
最 ; 法 加 传输 乓 的 技术 加 玛 王 安全 设计 三 国 
: 岛 测 斌 长 ” 葡 答 说 计 He 全 蔓 均衡 设 计 图 
:| -在 完成 哥 构 的 环境 于 进行 各 种 洋 斌 |: 对 管理 2 21: : 
: :和 “rp wos 32 : 
: 时 : {i ; 轿 从 会 活 展 到 : 
: : : 因 应 开 层 的 扶 术 : 
; 邮 运 行 : 让 
: 至 行 架 板 好 的 环境 : i 


和 


图 0.1.2 本 书 的 结构 
0.1.2.1 物理 设计 
在 物理 设计 中 ， 我 们 要 定义 服务 器 端 所 有 实体 对 象 的 所 有 规则 。 实 体 对 象 种 类 


党 多 ， 从 线 缆 到 机 架 、 电 源 ， 这 些 都 是 实体 对 象 。 我 们 要 对 所 有 的 实体 对 象 都 
进行 严格 的 定义 。 


本 书 的 第 1 章 讲 述 物 理 设计 ， 这 章 将 对 物理 设计 所 必需 的 技术 和 设计 要 点 进行 
说 明 。 关 于 设计 细 分 项 目 以 及 本 书 中 与 之 相关 的 技术 细 分 项 目 和 设计 细 分 项 目 
的 详细 内 容 请 参看 下 表 。 


表 0.1.1 本 书 中 与 物理 设计 相关 的 技术 细 分 项 目 和 设计 细 分 项 目 


加 物 达 设 计 规则 
式 


物 于 结构 设计 何 和 连接 各 会 宙 | .2.1 | 服务 部 端 有 丙种 结 


硬件 的 成 设计 什么 、 吕 挝 册 设 条 时 应 参考 
带 童 现 的 最 大 值 


软件 简 成 没 计 使 下 什么 版 本 的 OS 选 凌 玖 定 可 带 的 
QS 版 本 


在 何 处 、 使 用 什么 线 开 | “1.1,1 | 物理 层 里 有 允 种 根据 实际 配 益 和 人 

规格 再 的 选 到 线 纲 
| 1.5.2 | 物理 连接 设计 | 如 何 设 侣 术 率 与 汉 工 = | 堪 口 的 槐 惠 设 计 出 
| 1.5.3 | 端口 分 配 设计 | 按 特 样 的 是 序 使 用 端 D | 一 | 园区 二 

1.6 设备 设计 如 何 使 开机 各 和 电 济 i 


Le 名 加 安装 设计 | 如 何 党 机 吉安 装 到 "| 1.2.6 | 巧妙 地 配置 设备 
电源 连接 没 计 | 如 何 连 接 电 源 


0.1.2.2 ”逻辑 设计 


在 逻辑 设计 中 ， 我 们 要 定义 服务 器 端 所 有 逮 辑 对 象 的 所 有 规则 。 任 何 网 络 都 是 
ii 逻辑 成 立 的 ， 我 们 应 对 如 何 划分 VLAN、 如 何 分 配 卫 地 址 等 规 
出 一 一 定义 。 


本 书 的 第 2 章 讲 述 逻 辑 设计 ， 这 章 将 对 逻辑 设计 所 必需 的 技术 和 设计 要 点 进行 
说 明 。 关 于 设计 细 分 项 目 以 及 本 书 中 与 之 相关 的 技术 细 分 项 目 和 设计 细 分 项 目 
的 详细 内 容 请 参看 下 表 。 


表 0.1.2 本 书 中 与 逻辑 设计 相关 的 技术 细 分 项 目 和 设计 细 分 项 目 


| 本 书 中 的 相关 技术 细 分 项 目 | 直 7 
数据 急 路 居 的 玻 术 
| 2.2 | 现 络 层 的 技术 

受 乡 设计 更 如 | 定义 地 4 


站 设 计 的 球体 现 ] 
2.2 | VLAN 设计 ) 何 旭 ‘ 癌 
-1,2 | 数 皖 链 路 层 的 关键 在 
于 |L2 交 摸 宙 的 运作 
-1.3 | ARP 洗 运 辑 和 物理 半 
二 到 一 起 


2,3 | 及 地址 没 计 如 何 分 配 IP 地 志 2.2.1 | 现 络 是 外 网 络 层 拼 入 | 23.2 | 在 乔 奸 数 星 载 减 的 
基础 上 分 配 1P 地 村 


2.2:4 | 自动 设置 IP 地址 的 


2.4 | 如 由 没 计 如 人 复 进 行路 径 和 远航 海 现 段 连 靶 范 卖 


角 于 故障 排队 的 ICMP 
2.5 | 地 让 转换 设计 如 何 转 接地 让 2.2.3 | 转 接 JP 地 才 2.3.4 | NAT 要 按 入 站 和 出 
站 分 别 考 卡 


0.1.2.3 ”安全 设计 与 负载 均衡 设计 


在 安全 设计 中 ， 我 们 要 定义 防火 墙 的 基本 规则 。 当 今 ， 信 息 安全 的 重要 性 是 无 
需 效 言 的 。 在 安全 设计 中 制定 明白 易 仅 、 简 单 实用 的 安全 规则 可 以 说 是 信息 安 
全 的 基础 。 此 外 ， 我 们 还 要 在 负载 均衡 设计 中 定义 服务 器 的 负载 均衡 规则 。 近 
来 ， 惊 呼 信息 量 加 速 猛 增 的 声音 不 绝 于 耳 ， 在 这 样 的 背景 下 ， 服 务 器 负载 均衡 
技术 有 了 惊人 的 发 展 和 进步 。 可 以 这 么 认为 ， 在 所 有 的 大 规模 服务 邵 端 ， 服 务 
器 负载 均衡 技术 都 默默 无 闻 地 奉献 着 一 已 之 力 。 在 负载 均衡 设计 中 ， 高 效 的 信 
人 那 就 是 保障 服务 器 端的 可 扩展 性 和 灵活 


本 书 的 第 3 章 讲 述 安全 设计 与 负载 均衡 设计 ， 这 章 将 对 安全 设计 与 负载 均衡 设 
计 所 必需 的 技术 和 设计 要 点 进行 说 明 。 本 来 将 它们 的 设计 细 分 项 目 分 开讲 述 也 
征 可 以 的 ， 不 过 因为 二 者 都 与 从 传输 层 到 应 用 层 的 技术 相关 ， 就 将 它们 合并 在 
一 起 解说 了 ， 各 位 读者 可 根据 需要 将 它们 的 细 分 项 目 分 开 阅 读 。 关 于 设计 细 分 
a 目 和 本 书 中 与 之 相关 的 技术 细 分 项 目 以 及 设计 细 分 项 目的 详细 内 容 请 参看 下 


0.1.3 ”本 书 中 与 安全 设计 、 负 载 均衡 设计 相关 的 技术 细 分 项 目 和 设计 细 分 项 


| 设计 概要 | 本 书 中 的 相关 技术 抽 分 项 目 | 本 书 中 的 相关 设计 细 分 项 目 


3 全 设计 与 抽风 两 | 直行 与 安生 和 负 才 传 缩 层 的 了 术 加 数据 安全 设计 与 负 


教 泡 街 没 计 


泡 衔 相关 的 没 计 双 芝 请 芭 到 左 用 哇 
的 技术 
3.1 | 安全 设计 规则 定义 安全 设计 的 整 
体 观 则 


mamRsat | 一 | 二 | 一 | 二 


图 加 通过 锯 口 号 刘 分 服 
务 跑 进 程 
3.2.1 | HTTP 畜 撑 着 互联 
号 
| 322 | 开 SSL 保护 数据 
十 FTP 传 给 文件 
开 DNS 佣 匆 名 称 


如 何 定 义 网 阁 对 象 用 防火 卉 守卫 系统 | 3.3.1 | 数据 安全 设计 
和 鼻 议 对 得 


3.2.4 | 安全 基本 规划 | 如 人 锋 定 义 安 全 基本 
的 设计 规则 
负载 区 和 交 的 没 计 规则 “| 定义 负 鼓 泡 衡 设计 
的 整体 规则 


3.4.1 | 负载 均衡 需 或 | 应 针对 什么 通信 进 通过 负载 均衡 以 分 | 3.3.2 
的 整理 行 负 栽 沟 桥 赂 服务 兹 的 负 若 
| 3.4.2 | 健康 检查 设计 使 用 什 么 鳃 康夫 可 


3.4.3 gi 使 下 什么 负载 询 扳 


Er ET CETTE 
0.1.2.4 ”高 可 用 性 设计 


在 高 可 用 性 设计 中 ， 我 们 要 定义 系统 了 风 余 的 相关 规则 。 服 务 器 端 大 多 设 在 关键 
任务 环境 中 ， 不 允许 出 现 服 务 中 断 的 情况 ， 因 此 我 们 要 对 所 有 部 分 进行 元 余 设 
计 ， 确 保 无 论 在 哪里 发 生 怎 样 的 故障 都 能 够 从 容 应 对 。 


本 书 的 第 4 章 讲 述 高 可 用 性 设计 ， 这 章 将 对 高 可 用 性 设计 所 必需 的 技术 和 设计 
要 后 进行 说 明 。 关 于 设计 细 分 项 目 以 及 本 书 中 与 之 相关 的 技术 细 分 项 目 和 设计 
细 分 项 目的 详细 内 容 请 参看 下 表 。 


表 0.1.4 本 书 中 与 高 可 用 性 设计 相关 的 技术 细 分 项 目 和 设计 细 分 项 目 


4 ”高 可 用 性 设计 进行 高 可 用 性 相关 的 设计 


高 可 用 性 没 计 现 则 | 定义 高 可 十 性 设计 的 整 
体 规 则 


链接 元 余 设 计 使 及 圳 种 链接 宛 余 方式 
机 箱 究 祭 设 计 使 市 博 种 从 箱 元 剑 方 式 


STP 设 计 使 用 鄂 种 STP 模式 、 使 
表 包 种 交换 机 进行 器 和 由 
刁 接 


FHRP 设计 使 衣 哪 种 FHRP、 激 活 
旺 个 L3 交换 机 


各 由 协议 完 余 设计 


火 


正常 情况 时 经 过 怎样 的 
路 由 


器 白 
0.1.2.5 ”管理 设计 


在 管理 设计 中 ， 我 们 要 定义 与 服务 器 端 运行 管理 相关 的 所 有 规则 。 管 理 设计 中 
的 严格 规定 直接 影响 后 面 运 行 阶段 的 可 操作 性 和 可 扩展 性 。 

本 书 的 第 5 章 讲 述 管 理 设计 ， 这 章 将 对 管理 设计 所 必需 的 技术 和 设计 要 点 进行 
说 明 。 关 于 设计 细 分 项 目 以 及 本 书 中 与 之 相关 的 技术 细 分 项 目 和 设计 细 分 项 目 
的 详细 内 容 请 参看 下 表 。 


表 0.1.5 本 书 中 与 管理 设计 相关 的 技术 细 分 项 目 和 设计 细 分 项 目 


管理 设计 规则 li 
5 
| 5.2 | 主机 名 设计 定义 怎样 的 主机 4 
线 织 标 签 | 在 线 缴 上 粘贴 怎样 的 
设计 CE 
5.3.2 | 机 体 标 签 | 在 机 体 上 粘贴 怎样 的 
设计 奈 答 


EE 


备份 与 修复 设计 | 如 何 备份 设置 、 恕 何 5.2.4 | 管理 设置 信息 
进行 修复 
在 何 处 进行 时 间 同 步 征 NTP 司 步 时 间 | 一 | 一 | 
[sw [ens |e nswenaen | | | 


Sysiog 设计 在 条 处 定义 Sysiog 聂 | 5.1.3 | 弄 Sysiog 探测 故 凉 
各 只 、 使 用 什 么 三 将 梭 
过 和 严重 性 


| 59 | CDPALLDP 设计 | 在 何 处 激活 CDPILLDP | 5.1.4 | 传递 设备 信息 


第 1 章 物理 设计 


本 章 概要 


本 章 主 要 介绍 用 于 服务 器 端的 物理 层 技术 、 使 用 该 技术 时 的 设计 要 点 以 及 
一 般 的 物理 结构 类 型 。 


在 服务 器 端 ， 我 们 能 看 到 的 物体 只 有 机 染 、 线 红 、 端 口 淮 具有 物理 性 质 的 
东西 。 正 因 如 此 ， 我 们 要 充分 理解 它们 的 技术 和 规格 ， 做 出 符合 客户 需 
0 物理 层 中 的 疗 格 设计 会 深 深 影响 系统 今后 的 可 扩展 性 和 运行 管 


1.1 物理 层 的 技术 


物理 层 是 所 有 网 络 技术 的 根基 。 如 今 ， 随 着 网 络 的 高 速 发 展 ， 存 储 数据 、 音 频 
数据 等 各 种 各 样 的 数据 都 已 经 能 够 在 网 络 中 流通 。 所 有 的 这 些 数据 信息 都 需要 
经 过 物理 层 才能 流通 ， 如 果 没有 物理 层 ， 网 络 就 无 法 连通 ， 我 们 就 不 能 收发 邮 
件 ， 也 不 能 连接 互联 网 。 


1.1.1 物理 层 里 有 多 种 规格 


正如 其 名 ， 物 理 层 是 承担 着 通信 任务 的 所 有 物理 实体 所 在 的 层 ， 位 于 OSI 参考 
模型 的 最 下 层 。 它 的 名 字 和 其 他 层 比 起 来 似乎 有 点 一 本 正经 ， 不 过 不 用 想 得 太 
复杂 。 在 公司 和 学 校 我 们 常 常 能 看 到 LAN 网线， 把 LAN 网 线 理 解 成 物理 层 就 
行 了 。 如 果 用 的 是 无 线 LAN， 那 就 把 信号 理解 成 物理 层 好 了 。 


计算 机 的 世界 是 由 0 和 1 这 两 个 数字 构成 的 。0 和 工 叫 作 比 特 ， 连 续 的 比特 叫 作 
比特 流 。 数 据 链 路 层 向 物理 层 发 送 由 0 和 1 构成 的 数据 ( 帧 ) ， 物 理 层 接收 后 
将 它们 转换 为 电信 号 和 光 信 和 号。 物理 层 中 规定 了 数据 在 传输 媒介 ( 线 比 ) 中 的 
人 物理 性 质 的 要 素 做 了 规定 ， 如 线 缆 的 材质 、 连 接 器 的 形 

状 、PIN 的 接 法 等 。 


ETEEEEEEEEE EE 


图 1.1.1 通过 物理 层 数 据 在 传输 媒介 中 流动 
1.1.1.1 规格 整理 好 后 物理 层 就 会 水 落石 出 


在 讲解 物理 层 的 要 点 时 会 出 现 大 量 的 规格 名 称 。 因 此 ， 我 们 先 来 整理 一 下 规 
格 。 规 格 整理 好 了 ， 物 理 层 也 就 整理 好 了 ， 大 家 也 就 能 够 理解 了 。 


物理 层 的 标准 化 并 不 是 在 自身 范围 内 完成 的 ， 而 是 和 数据 链 路 层 在 一 起 成 套 实 
现 的 ， 整 理 规 格 时 要 将 这 点 考虑 进去 。 有 一 个 叫 作 IEEE802 委员 会 的 国际 标准 
化 组 织 对 物理 层 和 数据 链 路 层 的 相关 技术 标准 化 起 到 了 推动 和 促进 作用 。 
IEEE802 委员 会 下 设 很 多 工作 组 (WG，Working Group) ， 负 责 探讨 不 同 的 专业 
领域 ， 人 们 以 委员 会 名 后 面 加 上 小 数 点 ， 即 类 似 IEEE802.1 这 样 的 命名 形式 来 
区 分 它们 。 而 工作 组 制定 出 的 标准 则 会 进一步 在 后 面 加 上 英文 字母 ， 即 以 
IEEE802.1x 这 样 的 形式 来 命名 。 工 作 组 数量 极 多 ， 有 的 已 经 停止 活动 ， 有 的 其 
至 早已 解散 ， 所 以 我 们 没有 必要 去 掌握 所 有 的 规格 。 在 理解 了 物理 层 之 后 ， 我 
们 只 要 掌握 两 个 关键 标准 就 足够 了 ， 一 个 是 以 太 网 〈Ethernet) 标准 


IEEE802.3， 另 一 个 则 是 无 线 LAN 标准 IEEE802.11。 只 要 掌握 好 它们 ， 基 本 上 
就 可 以 应 对 所 有 的 网 络 了 。 本 书 仅 涉及 服务 器 端 需要 用 到 的 以 太 了 网 。 


IEEE80211 讨 接 ] 


[EEEBO23 {EEES02 11 
[以 天 办】 ( WLAN) 

wl | IEEEB023a | | IEEEg023z IEEE902 118 
IEEEB02.3 | eseaozaao | IEEE802 415 | | IEEEBO2 11a6 


IEEES02 3u IEEES02.3an IEEES02.119 


图 1.1.2 要 掌握 IEEE802.3 和 IEEE802.11 
以 太 网 标准 男 有 称呼 


以 太 网 是 处 理 物 理 层 和 数据 链 路 层 的 一 种 标准 。 在 现代 网 络 的 事实 标准 中 ， 可 
以 说 目前 大 部 分 有 线 LAN 环境 都 是 以 太 网 。IEEE802 委员 会 规定 用 IEEE802.3 
对 以 太 网 进行 标准 化 管理 。 


IEEE802.3 中 有 多 种 标准 ， 都 是 在 IEEE802.3 后 面 加 上 不 同 的 英文 字母 命名 的 。 
然而 在 以 太 网 中 这 些 标准 名 称 几 乎 不 怎么 用 ， 人 们 一 般 用 表示 这 些 标准 概要 的 
别名 来 称呼 它们 。 例 如 ， 使 用 双 绞 线 电 缆 的 千 兆 位 以 太 网 标准 是 IEEE802.3ab， 
别名 叫 作 1000BASE-T。 大 多 数 场合 人 们 都 不 用 IEEE802.3ab 这 个 名 字 而 是 称呼 
它 为 1000BASE-T。 下 表 中 列 出 了 各 种 标准 的 名 称 和 它们 所 对 应 的 别名 ， 一 般 来 
说 ， 看 别名 就 能 大 致 了 解 这 是 怎样 的 规格 。 


表 1.1.1 人 们 常常 用 别名 来 称呼 以 太 网 


SASE 后 再 如 淋 焊 实 文 定 堪 ， 表 大 传 以 端 介 深沉 
光 的 种 美 = 


传输 媒介 激光 的 种 类 


同 轴 电 缆 短波 长 激光 长 波长 激光 


SASE 后 而 接 致 字 封 表 雹 距 表 


传 
塘 
速 
度 


3 
和 
和 
8 
和 


1000BASE-LX 
BASE 前 而 的 数学 表 元 传 贸 速 玄 
IEEES802.3z 


10 10Mbivs 


00” 1100MPpiwys 
i000 1Gbit/s 10GBASE-SR 10GBASE-LR 
10G, 10GbivUs 

IEEE802.3ae IEEE802.3ae 


由 于 网 络 的 急速 发 展 ， 物 理 层 里 存在 着 大 量 纷 灯 的 通信 媒介 和 标准 。 光 是 讲解 
传输 编码 和 信和 号 转换 方式 的 内 容 就 足够 出 一 本 书 了 ， 足 见 其 高 深 。 不 过 ， 设 计 
和 架构 有 线 LAN 的 时 候 只 需要 注意 两 点 ， 那 就 是 线 绕 和 连接 器 。 下 面 会 针对 这 
两 个 要 点 ， 结 合 它们 各 自 对 应 的 标准 进行 详细 说 明 。 


在 物理 层 一 般 使 用 双 绞 线 电 缆 和 光纤 光缆 这 两 种 线 缆 。 线 缆 不 同 ， 使 用 的 连接 
器 也 不 同 ， 因 此 本 书 会 在 介绍 线 缆 时 一 并 说 明 连 接 器 的 相关 内 容 。 


Sd 


人 


全 PP , 
: A - ) ? 
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图 1.1.3 用 于 有 线 LAN 的 两 种 常见 线 缆 
表 1.1.2” 双 绞 线 电缆 和 光纤 光缆 的 比较 


比较 事项 双 绞 线 电缆 光纤 光缆 


传输 媒介 的 材质 


1.1.1.2” 双 绞 线 电缆 有 两 大 要 素 一 类 和 传输 距离 


首先 我 们 来 看 双 绥 线 电 缆 。 双 绥 线 电缆 采用 ooBASE-T 或 ooBASE-TX 这 样 的 标 
准 。ooBASE-T 的 T 是 双 绞 线 电 统 的 英文 Twisted-Pair Cable 的 第 一 个 字母 。 


双 绞 线 电缆 看 起 来 是 一 根 电 缆 ， 但 实际 上 是 八 根 铜 线 ， 每 两 根 ( 双 ) 相互 缠绕 

( 绞 ) ， 最 后 再 全 部 绞 合 成 一 整 根 线 缆 。 双 绞 线 电缆 分 两 种 ， 一 种 是 线 缆 部 分 
用 铝 箱 等 材质 做 了 绝缘 处 理 的 STP (Shielded Twist Pair， 屏 蔽 双 绞 线 ) 电缆 ， 另 
一 种 是 没 做 绝缘 处 理 的 UTP (Unshielded Twist Pair， 非 屏蔽 双 绞 线 ) 电缆 。 


常见 的 LAN 网 线 是 UTP 电缆 


UTP 电线 束 是 我 们 稼 说 的 LAN 网线， 在 公司 、 家 性 和 家 电 商 场 等 地 方 经 常 能 看 
到 它们 的 身影 ， 应 该 是 我 们 最 为 熟识 的 线 缆 。UTP 电缆 因为 使 用 方便 、 价 格 便 
宜 ， 获 得 了 爆发 性 的 普及 。 最 近 颜 色 也 变 得 多 种 多 样 了 ， 而 且 更 加 纤细 ， 外 形 
也 华丽 了 许多 。 但 是 这 种 电缆 不 抗 电 人 役 干 扰 ， 所 以 不 适合 在 工 上 等 电厂 干扰 较 
多 的 环境 中 使 用 。 


STP 电缆 则 克服 了 不 抗 电磁 干扰 这 个 缺点 。 这 种 电缆 做 了 绝缘 处 理 ， 有 效 地 减 
轻 了 内 外 部 电磁 干扰 ， 然 而 美中不足 的 是 绝缘 处理 使 得 电缆 用 起 来 不 太 方便 ， 
忆 此 ， 目 前 只 有 在 工厂 等 条 件 恶劣 的 环境 中 人 们 才 会 用 到 它 ， 服 务 器 端 基本 上 
并 无 它 的 用 蕊 之 地 * 


STP {1 Shielded Twist Pair ) 电 委 


/ 
C= 

站 已 SS Se 
CC 
> | ; 
E 
C3 

| ea: 
大 

人 
STP 对 向 绕 做 了 此 媒 处 理 ， UTR 公 公共 是 用 殊 检 外 区 
故 面 再 辣 得 副 料 外 皮 直 摊 潮 六 着 锐 浅 


图 1.1.4 UTP 和 STP 的 差异 在 于 是 否 做 了 绝缘 处 理 
类 的 数字 越 大 传输 速度 就 越 快 


在 双 绞 线 电 缆 中 有 一 个 “类 ”的 概念 。 仔 细 观 察 家 电 商 店 里 卖 的 LAN 网 线 规格 表 
就 会 发 现 ， 上 面 印 着 6 类 、5 类 这 样 的 标记 。 这 个 类 代表 传输 速度 ， 类 的 数字 越 
大 传输 速度 就 越 大 。 


目前 以 太 网 环境 使 用 的 类 都 不 低 于 5,， 1 到 4 类 的 线 缆 无 法 支持 100BASE-TX、 
1000BASE-T 这 样 比较 新 的 标准 。 因 此 ， 如 果 你 想 要 迁移 到 目前 主流 的 高 速 以 太 
> 同时 还 要 沿用 旧式 的 线 缆 环 境 ， 就 需要 注意 确认 各 种 线 缆 对 应 的 规 


当 铜 线 根 数 ( 铜 线 忌 数 ， 较 少时 尤其 需要 注意 。 例 如 ，3 类 线 缆 只 有 4 根 铜 线 
必 ， 而 1000BASE-T 需要 用 到 8 根 铀 线 必 以 提高 吞吐 率 。 所 以 在 沿用 3 类 线 缆 
环境 的 前 提 下 向 1000BASE-T 环境 迁移 的 话 ， 连 对 接 都 完成 不 了 ， 在 架构 现场 
就 会 窘 态 百 出 。 我 们 必须 在 相应 的 时 机 将 整个 线 缆 环 境 全 部 蔡 换 掉 才 行 。 


各 类 电缆 及 其 对 应 的 规格 请 参看 下 表 。 一 定 要 确认 无 误 之 后 再 去 选择 使 用 什么 
样 的 双 绞 线 电缆 。 


表 1.1.3 ”类 的 数字 越 大 传输 速度 就 越 快 


铜 线 芯 | 对 应 的 频 | 主要 对 应 的 规 | 最 高 传输 速 
类 | 种 类 数 ” 率 格 度 最 大 传输 距离 


3 类 |UTP/STP |4 必 2 对 |16Mbit/s 10BASE-T 16Mbit/s 100m 


UTP/STP |4 芯 2 对 |20MHz 令 牌 环 网 20Mbit/s 100m 


铜 线 芯 主要 对 应 的 规 | 最 高 传输 速 
种 类 数 ” 率 格 度 最 大 传输 距离 


5 类 |UTP/STP |8 心 4 对 |100MHz 100BASE-TX |100Mbit/s 
5e 类 |UTP/STP |8 心 4 对 | 100MHz 100BASE-T 1Gbit/s 


100m 


时 ) 


S12 人 4 入 区 = 1US m 
UTP/STP |8 芯 4 对 | 500MH 10GBASE-T 10Gbit/ 100 
STP 8 忆 4 对 |600MHz |10GBASE-T 10Gbit/s 100m 


根据 不 同情 况 选 择 使 用 直通 线 或 交叉 线 


-二 1000BASE-T 1Gbit/s 
UTP/STP | 8 心 4 对 |250MHz 10GBASE-T 10Gbit/s 55m (10GBASE-T 


在 双 绞 线 电缆 中 ， 除 了 类 之 外 还 有 直通 线 和 交叉 线 这 两 个 概念 。 它 们 的 外 表 可 
人 
[| o 


直通 线 和 交叉 线 与 名 为 MDI 和 MDLX 的 两 种 物理 端口 类 型 有 着 密切 的 关系 。 
前 面 已 经 介绍 过 ， 双 绞 线 电缆 是 将 八 根 铜 线 按 每 两 根 ( 双 ) 相互 缠绕 ( 绞 ) 的 
方式 绞 合 ， 最 后 再 全 部 绞 合 成 一 整 根 线 缆 的 。 服 务 器 、PC 的 网 卡 和 交换 机 的 物 
到 六 口中 有 8 个 PIN， 用 于 接收 作 根 钢 线 ， 从 左 至 右 都 有 相应 的 编号 ， 而 且 各 有 


端口 的 插口 
图 1.1.5 物理 端口 中 有 8 个 PIN 


在 100BASE-TX 中 ，MDI 端口 通过 1 号 和 2 号 PIN 发 送信 息 ， 通 过 3 号 和 6 号 
PIN 接收 信息 ， 剩 余 的 PIN (4 号 、 5 号 、 7 号、8 号 ) 并 不 使 用 。PC 和 服务 器 
的 网 卡 ， 还 有 路 由 器 的 物理 端口 都 是 MDI 端口 。MDI-X 端口 则 和 MDI 端口 恰 
恰 相 反 ， 通 过 1 号 和 2 号 PIN 接收 信息 ， 通 过 3 号 和 6 号 PIN 发 送信 息 。L2 交 
换 机 和 世 3 交换 机 的 物理 端口 是 MDI-X 端口 。 


服务 器 和 PC 的 网 卡 


图 1.1.6 PC 和 服务 器 的 网 卡 是 MDI 端口 


交换 机 的 物理 端口 线 缆 


图 1.1.7 交换 机 的 物理 端口 是 MDI-X 端口 


数据 传递 时 ， 一 方 发 送 了 信息 ， 男 一 方 必然 就 会 接收 信息 。 如 果 双 方 都 要 接收 
信息 ， 就 会 变 成 对 峙 的 状态 ， 而 如 果 双 方 都 要 发 送信 息 ， 数 据 就 会 发 生 冲 突 。 
因此 ， 当 双 绞 线 电缆 中 的 铜 线 是 平行 排列 的 情况 时 ， 就 必须 将 MDI 与 MDI-X 
连接 起 来 。 这 样 ，MDI 发 送信 息 则 MDI-X 接收 信息 ，MDI-X 发 送信 息 则 MDI 
接收 信息 。 这 种 铜 线 为 平行 排列 状态 的 线 缆 叫 作 直 通 线 。 举 个 例子 ， 当 PC 或 服 
Se MDI 和 MDI-X 的 上 述 关 系 成 立 ， 所 以 可 以 使 用 直通 


实 换 机 的 物 王 闪避 


i 辣 N 发 送信 意 和 接收 信息 的 
通 线 呵 序 以 好 谢 过 玉 


图 1.1.8 MDI 和 MDI-X 使 用 直通 线 连 接 

然而 ，MDI 和 MDI-X 的 上 述 关系 并 非 在 所 有 连接 环境 中 都 是 成 立 的 。 有 计算 机 
之 间 互 联 的 情况 ， 也 有 交换 机 之 间 互 联 的 情况 。 这 些 情况 下 ， 收 发 信息 的 关系 
并 不 成 立 ， 连 对 接 都 无 法 实现 。 

那么 该 怎么 办 呢 ? 遇 到 这 种 情况 ， 把 布线 改 一 改 就 好 了 “。 这 时 候 我 们 需要 用 到 
的 就 是 交叉 线 ， 交 叉 线 的 铜 线 配 置 在 内 部 恰好 是 相互 颠倒 的 ， 这 样 即使 端口 类 


型 相同 也 能 形成 收发 信息 的 关系 。 下 是 计算 机 之 间 的 互联 也 好 ， 交 换 机 之 间 
的 互联 也 好 ， 就 都 能 形成 彼此 收发 信息 的 关系 了 。 


交换 机 的 物 惠 议 口 交叉 红 交换 宙 的 物 弄 谐 
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图 1.1.9 ”端口 类 型 相同 时 应 使 用 交叉 线 连 接 


上 面 介 绍 了 直通 线 和 交叉 线 ， 但 实际 上 人 们 最 近 不 太 使 用 交叉 线 了 ， 这 是 为 什 
么 呢 ? 以 前 人 们 对 直通 线 和 交叉 线 做 了 严格 的 使 用 区 区 分 ， 可 是 这 种 严格 的 使 用 
区 分 却 带 来 了 意 想不到 的 麻烦 ， 慢 慢 地 反而 变 成 了 问题 的 根源 。 这 里 要 用 交叉 
线 、 那 里 要 用 直通 线 ..….. 像 这 样 指定 在 哪里 用 什么 线 是 非常 麻烦 的 ， 在 架构 大 
规模 的 网 络 环境 时 也 的 确 很 费事 。 在 这 样 的 背景 下 ， 出 现 了 具有 能 够 自动 识别 
端口 类 型 功能 (Auto MDLIMDI-X) 的 交换 机 。Auto MDI/MDI-X 功能 能 够 自动 
人 的 端口 类 型 ， 并 根据 该 类 型 将 收 信 器 和 发 信 器 进行 调换 。 有 了 这 项 功 

同样 的 端口 类 型 也 能 够 使 用 直通 线 ， 就 无 需 用 到 交叉 线 了 。 最 近 的 大 多 数 
机 器 部 具备 Auto MDVMDI-X 功能 ， 于 是 人 们 就 不 再 需要 每 次 都 考虑 线 绕 的 种 


交换 机 的 物 秆 狼 二 j 交换 机 的 箭 开 弟 口 
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1.1.10 ”使 用 Auto MDILMDI-X 功能 的 话 任何 情况 都 能 用 直通 线 连接 
在 1000BASE-T 中 八 根 铜 线 都 会 用 到 


在 100BASE-TX 中 ，MDI 端口 通过 1 号 和 2 号 PIN 发 送信 息 ， 通 过 3 号 和 6 号 
PIN 接收 信息 ， 剩 余 的 PIN (4 号 ~5 号 ~7 号 、8 号 ) 并 不 使 用 。 这 时 候 ， 双 绞 
线 电 缆 里 虽然 有 八 根 铜 线 却 只 能 用 到 一 半 ， 剩 下 的 四 个 PIN 用 不 上 ， 非 常 浪 

费 。 而 在 1000BASE-T 中， 剩余 的 四 个 PIN 也 能 用 在 数据 通信 上 以 提高 吞吐 
率 ， 它 是 千 兆 位 以 太 网 环境 中 最 常用 的 标准 。IEEE802 委员 会 赋予 1000BASE-T 
的 名 字 为 IEEE802.3ab 。 


1000BASE-T 的 通信 并 不 像 100BASE-TX 那样 将 收发 信 分 开 处 理 ， 而 是 用 同样 
的 PIN 进行 数据 收发 。 收 发 器 和 PIN 之 间 有 一 个 混合 电路 板 ， 在 那里 将 发 送 的 
数据 和 接收 的 数据 分 开 ， 然 后 分 别 交 给 发 信 器 和 收 信 器 。 在 100BASE-TX 中 1 
号 和 2 号 PIN 是 用 于 发 售 的， 而 在 1000BASE-T 中 ,1 号 和 2 号 PIN 既 能 用 于 
收 信也 能 用 于 发 信 。1 号 和 2 号 PIN 进行 收发 、3 号 和 6 号 PIN 进行 收发 、4 号 
和 5 号 PIN 进行 收发 、7 号 和 8 号 PIN 进行 收发 一 就 像 这 样 ， 四 对 PIN 都 能 
进行 数据 收发 ， 由 此 实现 了 1Gbit/s 的 高 速 通信 。 


交换 机 的 物理 尔 口 
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湿 合 所 路 生发 才 的 数据 痢 是 成 邓 声 进行 
和 和 控 收 的 数 播 分 开 数据 收 炎 


图 1.1.11 在 1000BASE-T 中 八 根 铜 线 都 会 用 到 
相 邻 机 器 的 速率 和 双 工 设置 应 保持 一 致 


至 此 ， 我 们 对 双 绞 线 电 缆 演 琐 而 又 深奥 的 结构 做 了 说 明 。 不 过 ， 物 理 层 中 受制 
于 线 缆 和 网 卡 这 些 硬 件 的 地 方 很 多 ， 实 际 设 置 网 络 设备 时 未 必 有 那么 多 的 设置 
细 分 项 目 。 我 们 在 使 用 双 绞 线 电 缆 时 只 需 注 意 两 处 设置 即 可 ， 那 就 是 端口 的 速 
率 和 双 工 。 相 邻 设备 的 速率 和 双 工 设置 请 务必 要 保持 一 致 。 


正如 其 名 ， 速 率 表示 传输 的 速度 。 我 们 应 配合 服务 器 网 卡 和 网 络 设备 的 物理 端 
口 将 它 设置 成 100Mbit/s、1000Mbit/s 等 值 。 


双 工 是 指 双 向 通信 的 方式 。 在 网 络 的 世界 里 不 存在 单方 通信 ， 只 有 双向 通信 。 

双 工 表示 的 就 是 双向 通信 成 立 的 方式 ， 它 分 半 双 工 _ (half duplex) 和 全 双 工 
(full duplex) 两 种 。 半 双 工 通信 在 同一 时 刻 只 能 进行 单 向 通信 ， 需 要 通过 调换 

方向 的 方式 才能 使 双向 通信 成 立 。 以 前 人 们 用 10BASE2、10BASE5 这 样 的 旧 规 


格 ， 但 现在 不 会 刻意 设置 成 那样 了 。 在 10GBASE-T 中 ， 连 半 双 工 这 个 概念 都 已 
经 不 复 存 在 了 。 这 是 因为 如 果 采 用 半 双 工 通信 ， 在 收发 批量 文件 等 情况 时 会 发 
生 错 误 ， 否 吐 率 无 法 提升 。 与 此 相对 ， 全 双 工 通信 则 是 同时 进行 收发 处 理 来 使 
双向 通信 成 立 的， 分 别 设 有 不 同 的 信道 发 送 和 接收 信息 。 目 前 ， 全 双 工 已 经 成 


为 唯一 的 标准 通信 和 方式， 端口 的 设置 必须 符合 全 双 工 通信 的 条 件 才 行 。 


收发 同时 进行 | 有 两 条 传输线 收发 再 时 进行 | 


图 1.1.13 ”全 双 工 通信 有 两 条 传输 线路 


速率 和 双 工 有 手动 设置 和 自动 〈 自 协商 ) 设置 两 种 设置 方法 ， 无 论 采 用 哪 种 方 
法 ， 我 们 都 要 保持 两 端 设 备 的 设置 一 致 。 


交换 机 


1000BASE-T 1000BASE-T “一 


图 1.1.14 请 务必 确保 两 端 设备 的 速率 和 双 工 设置 一 致 


手动 设置 两 端的 端口 时 ， 速 率 如 果 设 置 得 不 一 致 ， 会 连 对 接 都 无 法 完成 ， 而 双 
工 如 果 不 一 致 ， 则 对 接 虽 然 能 完成 但 基本 上 无 法 进行 通信 。 


1 O00Mbit/s move oe 1 O00Mbit/s 
全 双 工 全 和 工 |< 
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国生 
图 1.1.15 手动 设置 时 如 果 速 率 或 双 工 设 得 不 一 致 将 无 法 进行 通信 

采用 自动 设置 ( 自 协商 ) 时 也 要 注意 。 自 动 设置 是 通过 交换 FLP (Fast Link 


Pulse， 快 速 连接 脉冲 ) 信号 来 决定 速率 和 双 工 的 ， 通 过 FLP 交换 彼此 支持 的 速 
率 和 双 工 ， 然 后 按照 预先 决定 好 的 优先 顺序 来 决定 速率 和 双 工 。 
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图 1.1.16 互相 交换 信号 以 决定 速率 和 双 工 


当 两 端 都 采用 自动 设置 时 ， 结 果 必 然 是 选择 全 双 工 ， 这 没有 什么 问题 。 但 是 ， 
如 果 只 有 一 端 采 用 了 自动 设置 ， 那 么 系统 将 会 选择 默认 的 双 工 设置 一 一 半 双 

工 。 这 是 因为 当 发 送 的 是 FLP 信和 号 而 返回 的 却 是 非 FLP 信和 号 时 ， 系 统 就 会 选择 
半 双 工 模式 。 这 时 候 吞吐 率 是 提升 无 望 的 ， 所 以 如 果 一 端 采 用 了 目 动 设置 ， 另 
一 端 就 一 定 也 要 采用 上 自动 设置 ， 这 个 原则 我 们 绝对 要 遵守 。 


100Mbit/s/ 半 双 工 | 100Mbit/s 
二 全 JR 二 
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图 1.1.17 采用 自动 设置 时 要 注意 ! 
双 绞 线 电 缆 的 最 大 传输 距离 为 100 米 


双 绞 线 电 比 是 目前 最 常用 的 布线 材料 ， 但 它 有 一 个 致命 的 弱点 ， 那 就 是 传输 距 
离 非常 有 限 。 从 规格 上 来 说 ， 双 绞 线 电缆 最 多 只 能 延伸 到 100 米 处 ， 如 果 延 伸 
到 100 米 之 外 ， 电信 号 会 衰减 ， 数 据 会 消失 ， 所 以 超过 100 米 时 必须 设置 交换 
机 等 中 转机 器 以 延长 传输 距离 。 布线 时 考虑 到 这 个 最 大 传输 距离 是 极其 重要 
的 。 有 人 也 许 会 觉得 有 100 米 足 够 了 ， 但 是 电缆 需要 装 入 导管 ， 布 线 时 会 遇 到 
障碍 物 ， 由 于 建筑 物 的 某 些 原 因而 不 得 不 迁 回 布线 的 情况 也 很 多 ， 你 会 意外 地 
发 现 100 米 其 实 很 短 。 所 以 我 们 应 仔细 确认 布线 线路 ， 将 总 长 度 控 制 在 100 
之 内 。 当 然 ， 你 也 可 以 通过 中 转机 器 让 它 得 以 无 限 延 伸 。 不 过 那样 的 话 ， 今 
需要 进行 运行 管理 的 机 器 将 会 增加 ， 故 障 点 也 会 增加 ， 总 体 来 说 并 不 实用 。 
到 这 各 情况 我 们 应 使 用 光纤 光缆 ， 至 于 光纤 光缆 ， 将 在 下 个 小 节 为 大 家 说 
日 


用 中 继 集线器 抓 包 


在 物理 层 设备 中 ， 最 具 实 用 性 的 束 是 中 继 集线器 了 “。 中 继 集线器 的 功能 非常 简 
单 ， 它 将 端口 接收 到 的 信号 复制 并 发 送 给 所 有 端口 。 由 于 是 将 数据 发 送 给 所 有 
端口 ， 所 以 与 该 中 继 集线器 连接 的 所 有 端口 都 会 接收 到 和 自己 并 不 相干 的 数 
据 ， 从 通信 和 量 的 角度 来 说 这 样 做 的 效率 并 不 高 。 最 近 ， 中 继 集 线 器 大 多 已 被 交 
换 集线器 所 蔡 代 ， 几 乎 很 少 能 见 到 了 ， 作 为 支持 数据 通信 的 集 线 右 这 个 角色 ， 
我 们 可 以 认为 它 已 经 走 到 了 终点 。 


由 


他 与 此 无 关 的 工会 
把 收 妈 的 数据 丢弃 


图 1.1.18 ”中 继 集 线 器 将 复制 的 信号 发 送 给 所 有 的 端口 


中 继 集线器 的 真 本 领 在 于 故障 排除 。 我 们 在 需要 抓 包 的 PC 或 服务 器 之 间 插 入 中 
继 集线器 ， 然 后 在 同 列 中 配置 好 另 一 台 PC， 就 能 接收 到 机 器 之 间 交 换 的 信号 。 
接收 到 的 数码 信号 可 用 Wireshark、EtherPeek 这 样 的 专用 软件 进行 截取 和 分 析 。 
使 用 中 继 集线器 时 能 够 顺利 抓 包 而 不 改变 现 有 机 器 的 设置 。 因 此 ， 在 细 化 到 比 
特 流 程度 的 故障 排除 中 ， 它 总 是 能 够 发 挥 目 己 真 正 的 本 领 。 


肪 收 昼 的 信 仿 色 拥 着 : 
次 把 所 有 撕 品 


牟取 收 到 的 大 找 并 
进行 分 析 

图 1.1.19 ”通过 中 继 集 线 器 排除 故障 

1.1.1.3 ”光纤 光缆 是 用 玻璃 制 成 的 


接 下 来 ， 我 们 来 看 光纤 光缆 。 光 纤 光 缆 的 规格 为 oo BASE-SX/SR 或 oo BASE- 
LX/LR。oo BASE-SX/SR 中 的 $ 是 Short Wavelength (短波 长 ) 中 的 S，oo 
BASE-LX/LR 中 的 工 是 Long Wavelength (长 波长 ) 中 的 工 ， 它 们 都 代表 了 激光 
的 种 类 。 我 们 使 用 的 激光 种 类 将 直接 影响 传输 距离 和 所 用 的 线 缆 。 


光纤 光缆 是 用 极 细 的 玻璃 管 做 成 的 1 ， 用 于 传输 光 信 号 。 光 纤 光 缆 由 折射 率 较 高 
的 纤 芯 和 折射 率 较 低 的 包 层 构 成 ， 为 同 必 双 层 结构 。 通 过 将 折射 率 不 同 的 两 种 
玻璃 做 成 双 层 构造 ? ， 可 以 将 光 封 闭 到 纤 必 内 ， 进 而 形成 低 损 耗 的 光 通 道 ， 这 个 
光 通 道 就 叫 作 模 。 


| 、 高 分 子 光 纤 等 用 非 玻璃 材质 制 成 的 光纤 ， 不 过 人 们 一 般 使 用 的 光纤 电缆 都 是 用 


高 纯度 的 石英 玻璃 制 成 的 。 


| : 如 果 算 上 被 覆 表层 就 是 三 层 构造 。 


将 光 封 闭 到 纤 世 内 部， 


包 层 的 折射 率 比 较 低 


图 1.1.20 “光纤 光缆 由 纤 芯 和 包 层 构成 


实际 传输 数据 的 时 候 ， 一 根 世 用 于 发 送信 息 ， 另 一 根 必 则 用 于 接收 信息 ， 两 根 
心 组 成 一 对 ， 形 成 全 双 工 通信 。 由 于 必须 构成 收 和 发 的 天 系 ， 如 果 一 方 发 送 了 
信息 ， 另 一 方 就 必须 接收 信息 。 如 果 双 方 都 发 送信 息 或 都 接收 信息 ， 束 会 连 对 
接 都 无 法 完成 。 


|: fd 分 为 用 于 发 信 的 波长 和 用 于 收 信 的 波长 两 种 ， 分 别 进行 信息 收发 


仅 用 于 发 送信 息 另 一 方 接收 信息 


。 仅 用 于 接收 信息 


图 1.1.21 收发 信息 分 别 使 用 不 同 的 光纤 光缆 

使 用 光纤 光缆 时 ， 即 使 传输 距离 很 长 信号 也 不 会 衰减 ， 能 够 保持 极 宽 的 频带 ， 
和 双 绞 线 电缆 相 比 能 延伸 到 更 远 的 距离 。 但 是 光纤 光缆 也 有 缺点 ， 那 就 是 结构 
过 于 精密 ， 使 用 起 来 不 太 方 便 。 

根据 不 同 需 要 区 分 使 用 多 模 光 纤 和 单 模 光纤 


光纤 光缆 有 多 模 光 纤 (MMF) 和 单 模 光纤 (SMF) 两 种 类 型 ， 二 者 的 差异 在 于 
纤 芯 直径 ( 即 芯 径 ， 光 信号 从 这 里 通过 ) 不 同 。 


多 模 光纤 


多 模 光 纤 的 世 径 为 50 hm 或 62.5 um， 用 于 1000BASE-SX 和 10GBASE-SR4 
。 由 于 心 径 较 大 ， 光 的 通道 〈 模 ) 分 散 成 了 好 几 个 (多 ) 。 由 于 有 多 个 通 

道 ， 和 单 模 光纤 相 比 ， 它 的 传输 损耗 更 大 ， 传 输 距离 更 短 (最 大 550 

米 ) 。 然 而 它 的 价格 比 单 模 光纤 便宜 ， 也 更 好 用 ， 因 此 常常 用 于 LAN 这 种 
比较 近 距 离 的 传输 。 多 模 光 纤 按 纤 芯 折射 率 可 分 为 SI 型 ( 阶 跃 ) 和 GI 型 

(渐变 ) 两 种 ， 目 前 人 们 使 用 的 多 模 光 纤 一 般 为 GI 型 ， 我 们 可 以 认为 多 模 
光纤 指 的 就 是 GI 型 光纤 。GI 型 光纤 能 使 纤 忆 的 折射 率 逐 渐 发 生变 化 ， 使 所 
有 光 通 道 在 同一 时 间 到 达 目 的 地 ， 这 样 就 能 减少 传输 损耗 。 


TT 


娃 心 直径 
50hnwV62.5hm 


TT CT 


ee TT TT 


有 多 个 模 通 过 纤 效 


和 单 模 相 比 传输 损耗 较 大 价格 比较 便宜 
距离 较 难 延伸 


图 1.1.22 多 模 光 纤 中 有 多 条 光 通 道 
单 模 光纤 


单 模 光 纤 的 芯 径 为 8 一 10 hm， 用 于 1000BASE-LX 和 10GBASE-LR。 通 过 
缩小 芯 径 ， 以 及 湿度 控制 纤 芯 和 包 层 之 间 的 折射 率 差 ， 达 到 了 只 有 一 个 

( 单 ) 光 通 路 〈 模 ) 的 效果 。 由 于 设计 上 保证 了 只 有 一 条 光 通 路 存在 ， 所 
以 单 模 光 纤 能 够 实现 长 距离 和 大 容量 数据 的 传输 。 单 模 光 纤 在 家 庭 或 公司 
等 场所 不 易 见 到 ， 但 如 果 你 经 常 出 入 数据 中 心 或 ISP 主干 网 设施 就 会 经 常 
看 到 了 。 不 知 为 何 ， 笔 者 个 人 总 觉得 单 模 光 纤 以 黄色 的 线 缆 居 多 。 单 模 光 
纤 在 传输 损耗 小 又 能 进行 长 距离 通信 这 两 点 上 无 可 挑 吻 ， 但 缺点 是 价格 侦 


[可 


只 有 一 个 模 通过 纤 区 man ee 


距离 能 够 延伸 


图 1.1.23 单 模 光纤 中 只 有 一 条 光 通 道 
| “也 可 用 于 1000BASE-LX， 此 时 其 最 大 传输 距离 即 为 多 模 光 纤 的 最 大 传输 距离 (550 米 ) 。 
下 表 是 将 两 种 光纤 光缆 进行 比较 的 结果 。 
表 1.1.4 单 模 光纤 和 多 模 光 纤 的 比较 


传输 损耗 


传输 距离 最 大 550m 


成 本 高 更 高 


光纤 光缆 的 规格 


光纤 光缆 有 多 种 规格 ， 常 听 大 家 说 对 这 个 不 太 了 解 。 光 纤 光 线 的 具体 规格 直接 
关系 到 我 们 对 它们 的 选择 ， 所 以 在 这 里 要 好 好 整理 一 下 。 


我 们 在 整理 规格 的 时 候 ， 最 容易 理解 的 是 co BASE- 口 入 中 口 的 部 分 。 这 部 分 的 文 
字 表 示 了 激光 的 种 类 ， 笔 者 就 是 利用 这 里 的 英文 字母 整理 规格 的 。 以 
1000BASE-SX 为 例 ，1000BASE-SX 中 的 S 代表 了 Short Wavelength (短波 长 ) 5 
， 有 S 的 规格 说 明 该 光缆 使 用 的 是 850nm 波长 的 短波 长 激光 ， 仅 能 用 于 多 模 光 
纤 。 笔 者 是 这 样 简单 记忆 的 : S 代表 Short， 指 距离 短 的 多 模 ; 而 工 代表 Long， 
指 距离 长 的 单 模 ， 不 过 大 能 兼 小 ， 所 以 它 也 能 用 于 多 模 光 纤 。 


5X 则 是 1000BASE-X 中 的 X。1000BASE-X 是 使 用 光纤 的 千 兆 位 以 太 网 的 总 称 。 顺 便 提 一 句 ， 
10GBASE-SR 中 的 R 指 10GBASE-R 中 的 R， 而 10GBASE-R 是 10 千 兆 位 以 太 网 的 总 称 。 


下 面 是 笔者 整理 出 来 的 光纤 光线 规格 一 贤 表 。 
表 1.1.5 可 用 于 1000BASE-X 的 光缆 


MMF [ 多 痪 光纤 】 SMF 1 热 模 光 结 】 


82.5 um 50 um 


275m 550m 
! 200MHz .km 时 (500MHz »- km 时 ) 


850nm 1310nm 1550nm 


1000BASE-SX | : 
IEEE802.3z 
1Gbiis 的 规格 sa : | 1oooBASE:ZX 


( 1000BASE-X )} 1000BASE:LX : 思 税 公司 特有 
IEEE802.3z | : 


※ 括号 内 的 数字 表示 模 的 带宽 ， 数 字 越 大 则 传输 损耗 越 小， 适合 长 距离 传输 。 


表 1.1.6 可 用 于 10GBASE-R-X 的 光 绕 


50 um 8- 10 um 


300 
10km 70km 
(2000MHz * km #83 ) 


长 
10Gbits 的 规格 10GBASE-SR :| 10GBASE-LR |:;| 10GBASE-ER 
(40BASE-R ) IEEE802.3ae : :| MEEE802.3ae 


※ 括号 内 的 数字 表示 模 的 带宽 ， 数 字 越 大 则 传输 损耗 越 小 ， 适 合 长 距离 传输 。 


常用 的 连接 器 有 SC 型 和 LC 型 两 种 


光纤 连接 器 有 多 种 形状 ， 一 般 用 于 LAN 等 方面 的 连接 器 有 SC 型 和 LC 型 两 
种 ， 我 们 应 根据 连接 的 设备 和 模块 选择 使 用 哪 一 种 。 


。 SC 型 连接 器 


SC 型 连接 器 只 需 推 入 插头 就 能 锁 住 ， 向 外 轻 拉 就 能 断 开 ， 是 一 种 推拉 式 构 
造 的 连接 器 。 其 特点 是 使 用 方便 、 成 本 低廉 ， 缺 点 是 插头 有 点 大 。 在 
10GBASE-R 中 使 用 的 X2 模块 、 将 电信 号 和 光 信 和 号 相互 转换 的 媒体 转换 
器 、ONU (Optical Network Unit， 光 网 络 单元 ) 设备 ..…... 连 接 这 些 对 象 时 
要 用 到 SC 型 连接 器 。 


图 1.1.24 SC 型 连接 器 的 形状 (照片 提供 源 : SANWA SUPPLY 股份 有 限 


公司 ) 
LC 型 连接 器 


LC 型 连接 器 的 形状 和 SC 型 很 像 。 它 和 双 绞 线 电 缆 的 连接 器 (RJ-45) 一 样 
只 需 推 入 插头 就 能 锁 住 ， 要 断 开 时 按 住 小 突起 〈 门 锁 ) 往外 拉 即 可 。 揪 头 


比 SC 型 连接 器 的 小 ， 能 够 安装 很 多 端口 。 连 接 SFP 模块 、SFP+ 模块 时 使 
用 LC 型 连接 器 。 


图 1.1.25 LC 型 连接 器 的 形状 (照片 提供 源 ，SANWA SUPPLY 股份 有 限 


公司 ) 


SC 型 连接 器 和 LC 型 连接 器 只 是 连接 器 的 形状 不 同 而 已 ， 和 使 用 规格 并 没有 直 
接 的 关系 。 首 移 我 们 应 根据 需要 的 规格 选择 连接 的 设备 和 模块 ， 然 后 根据 该 设 
备 和 模块 选择 连接 右 和 光缆 。 举 个 例 和 于， 有 两 台 装 交换 机 装 有 1000BASE-SX 的 
SFP 模块 ， 当 我 们 需要 将 这 两 台 交 换 机 连接 起 来 的 时 候 ，SFP 模块 应 接 LC 型 连 
接 器 ， 应 选择 LC-LC 多 模 光 纤 。 


选择 LC-LGC 多 模 光 妊 


图 1.1.26 根据 设备 和 模块 选择 连接 器 和 光 绕 


1.2 ”物理 设计 


前 面 我 们 已 经 对 物理 层 的 各 种 技术 做 了 很 多 说 明 。 下 面 从 实用 性 的 角度 讲 讲 在 
服务 希 端 应 该 如 何 使 用 这 些 物 理 层 的 技术 ， 以 及 我 们 在 设计 和 架构 服务 万 端 时 
应 该 注意 哪些 事项 。 


1.2.1 服务 器 端 有 两 种 结构 类 型 

想 要 设计 出 服务 器 端 物理 层面 的 结构 ， 就 要 搞 清楚 针对 和 
配置 和 连接 。 服 务 开始 运作 之 后 再 去 大 规模 地 修改 结构 征 
并 非 无 法 实现 ， 但 是 届时 我 们 将 不 得 不 中 断 服 务 。 因 此 ， 为 了 各 免 出 现 革 人 不 
得 已 的 局 面 ， 我 们 必须 设计 出 易于 管理 、 易 于 扩展 、 着 眼 于 未 来 的 物理 结构 。 


一 般 用 于 服务 器 端的 物理 结构 有 两 种 ， 分 别 是 串联 式 和 单 路 并 联 式 ， 中 小 规模 
的 系统 环境 多 采用 前 者 ， 大 规模 系统 环境 则 多 采用 后 者 。 下 表 是 将 二 者 进行 粗 
略 比 较 之 后 得 出 的 结果 。 


表 1.2.1 串联 式 结构 和 单 路 并 联 式 结构 的 比较 “ 


6 表格 中 的 o 代 表 “ 高 "， 信 代表 “ 尚 可 ”。 一 一 译 者 注 


渤 性 
灵活 性 


关于 各 种 机 器 的 技术 、 功 能 ， 以 及 为 什么 是 这 样 的 物理 结构 等 详细 内 容 将 在 下 
一 章 按 结构 类 型 分 别 进行 讲解 。 在 这 一 他， 大 家 只 需 对 如 何 连接 有 个 大 致 的 印 
象 就 可 以 了 。 物 理 结构 的 设计 是 诸多 技术 和 诸多 功能 的 集大成 者 ， 所 有 的 设备 
配置 都 目 有 其 道理 和 和 意义， 相信 各 位 读者 在 了 解 了 各 种 技术 和 功能 之 后 再 回 过 

头 来 看 这 一 下 就 会 觉得 更 加 有 趣 。 接 下 来 就 开始 详细 介绍 各 种 结构 的 概要 。 


1.2.1.1 采用 串联 式 结构 管理 起 来 更 方便 


首 移 我 们 来 看 串联 式 结构 。 该 结构 是 在 通信 线路 上 进行 配置 的 ， 串 联 式 
(Inline) 也 因此 而 得 名 。 目 前 在 服务 器 端 用 得 最 多 的 就 是 串联 式 结构 ， 由 于 它 
结构 简单 ， 故 障 也 容易 排除 ， 深 受 运 行 管理 者 的 喜爱 。 串 联 式 结构 有 很 多 种 类 
型 ， 无 法 一 一 列举 ， 这 里 只 介绍 几 个 有 代表 性 的 类 型 。 


串联 式 结构 之 类 型 1 
我 们 来 看 第 一 种 类 型 。 这 是 串联 式 结构 中 最 简单 、 最 容易 理解 的 一 种 结构 ， 网 


人 这 种 方形 结构 是 串联 式 结构 中 最 基本 
J] 结构。 
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图 1.2.1 ”串联 式 结构 之 类 型 1 


我 们 应 将 相同 的 设备 并 列 配置 以 实现 风 余 化 ， 用 多 根 线 缆 连 接 机 器 。 这 些 线 缆 
不 仅 交 换 管 理 比 特 流 (管理 比 特 流 用 于 管理 元 余 结构 ) ， 同 时 又 提供 发 生 故 障 
时 的 迁 回 线路 。 上 下 之 间 用 一 根 线 缆 连 接 。 实 际 上 也 可 根据 通信 量 适 当地 增加 
线 绕 ， 但 这 里 为 了 方便 大 家 理解 ， 只 用 一 根 。 


这 种 结构 非常 简单 。 在 这 种 结构 中 每 台 机 器 各 司 其 职 ， 无 论 哪 台 机 器 发 生 故 
0 


串联 式 结构 之 类 型 2 


接 下 来 看 看 第 二 种 类 型 。 这 种 类 型 是 在 第 一 种 结构 类 型 中 加 入 了 刀片 服务 器 、 
虚拟 化 、StackWise 技术 和 VSS (Virtual Switching System， 虚 拟 交 换 系 统 ) 、 数 
据 安全 区 段 划分 这 四 个 元 素 。 年 一 看 比较 复杂 ， 但 仔细 观察 后 会 发 现 它 是 一 种 
型 的 方形 结构 。 这 里 ， 使 用 StackWise 技术 的 交换 机 必须 用 专用 的 Stack 
线 缆 连 接 。 


这 种 结构 的 刀片 服务 器 和 虚拟 化 能 够 提高 服务 器 的 集中 效率 和 可 扩展 性 ， 

StackWise 技术 和 VSS 能 够 提高 交换 机 的 运行 管 理 效 率 ， 这 些 都 对 简化 结构 起 着 

重要 的 作用 。 此 外 ， 对 DMZ 和 LAN 的 数据 安全 区 段 划分 又 提高 了 安全 度 。 这 

种 类 型 必须 采用 刀片 服务 器 特有 的 结构 ， 架构 可 使 用 虚拟 化 功 角 g 的 专用 网 络 ， 

较 之 类 型 1， 需 要 考 虚 的 地 方 会 更 多 一 些 。 本 书后 面 有 对 各 个 要 素 的 详细 说 明 ， 

刀片 服务 器 在 4.1.1.2 节 ， 虚 拟 化 在 2.3.1.1 节 ，StackWise 技术 和 VSS 在 4.1.1.3 
节 ， 数 据 安全 区 上 段 划 分 在 3.1.1.1 节 。 


这 种 结构 也 和 类 型 1 一 样 ， 每 台 机 器 各 司 其 职 ， 无 论 哪 台 机 器 发 生 故 障 ， 系 统 
都 会 将 故障 对 其 他 机 器 的 影响 控制 在 最 小 范围 内 ， 同 时 切换 连接 到 备用 机 上 。 


1.2.1.2 采用 单 路 并 联 式 结构 更 容易 扩展 


下 面 ， 我 们 来 看 看 单 路 并 联 式 结构 。 这 种 结构 恰似 将 设备 配置 到 核心 交换 机 的 
手臂 位 置 ， 所 以 叫 作 One-Arm 结构 〈 单 臂 结构 或 单 路 并 联 式 结构 ) 。 位 于 服务 
ee et le ae 

。 然而 这 种 结构 能 够 适应 各 种 需求 ， 兼 具 灵 活性 和 可 扩展 性 ， 常 用 于 数据 中 
i 多 租户 环境 等 规模 较 大 的 服务 器 端 。 下 面 介 绍 几 个 具有 代表 性 的 单 路 并 联 
式 结构 类 型 和 它们 各 目的 特点 。 


单 路 并 联 式 结构 之 类 型 1 


我 们 来 看 第 一 种 类 型 。 这 是 单 路 并 联 式 结构 中 最 简单 、 最 容易 理解 的 一 种 结 
构 ， 实 际 上 ， 这 种 结构 在 逻辑 上 和 串联 式 结 构 的 类 型 1 十 一 样 的。 将 相同 的 设 
备 并 列 配置 以 实现 元 余 化 这 一 点 没有 任何 变化 ， 不 同 的 只 是 按 纵 列 配置 而 已 。 
在 这 种 结构 中 ， 我 们 将 防火 墙 和 负载 均衡 器 配置 到 核心 交换 机 的 券 边 ， 就 好 像 
核心 交换 机 的 手臂 一 样 。 在 串联 式 结构 中 ， 每 台 机 器 各 司 其 职 ， 配 置 非常 容易 
理解 ， 而 在 单 路 并 联 式 结构 中 ， 很 多 职能 都 集中 于 核心 交换 机 一 身 ， 位 于 系统 
人 多 重任 务 ， 几 乎 所 有 的 通信 都 需要 经 过 它 的 处 
忆 


设备 配置 虽然 完全 不 同 ， 但 单 路 并 联 式 结构 所 用 的 元 余 功能 却 和 串联 式 结构 的 

模 一 样 。 无 论 哪 台 机 器 发 生 故障 ， 系 统 都 会 立刻 切换 线路 并 确保 新 的 线路 息 
站 人 它 自 身 发 生 故 障 ， 束 会 对 所 有 
器 产 县 2 
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图 1.2.2 ”串联 式 结构 之 类 型 2 
%※ 由 于 版 面 关系 ， 部 分 服务 器 在 图 中 省 略 未 画 。 
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图 1.2.3 单 路 并 联 式 结构 之 类 型 1 
单 路 并 联 式 结构 之 类 型 2 


我 们 来 看 第 二 种 类 型 。 和 串联 式 结构 一 样 ， 这 种 类 型 是 在 第 一 种 单 路 并 联 式 结 
构 类 型 中 加 入 了 刀片 服务 器 、 虚 拟 化 、StackWise 技术 和 VSS、 数 据 安 全 区 段 划 
分 这 四 个 元 素 。 


这 种 类 型 也 是 乍 看 起 来 比较 复杂 ， 但 基本 结构 和 结构 类 型 1 是 一 样 的。 核心 交 
换 机 的 连接 形态 稍 有 不 同 ， 这 是 因为 VSS 在 逻辑 上 将 两 台 核心 交换 机 合并 成 了 
一 台 的 缘故 。 从 防火 墙 和 负载 均衡 器 的 角度 来 看 ， 就 像 是 只 连接 到 了 一 人 台 核 心 
交换 机 上 那样 ， 而 它们 就 是 配置 在 这 人 台 核 心 区 换 机 旁边 的 手臂 。 


这 种 结构 也 和 结构 类 型 1 一 样 ， 机 器 配置 虽然 完全 不 同 ， 但 所 用 的 元 余 功能 却 
和 串联 式 结构 的 一 模 一 样 。 无 论 哪 台 机 器 发 生 故 障 ， 系 统 都 会 立刻 切换 线路 并 
确保 新 的 线路 畅通 无 阻 。 这 种 结构 的 核心 交换 机 和 结构 类 型 1 的 核心 交换 机 一 
样 承担 着 多 重 角色 ， 不 过 ， 由 于 它 是 VSS 在 逻辑 上 合并 成 的 一 台 交 换 机 ， 所 以 
即使 它 发 生 故 障 ， 也 不 会 像 类 型 1 那样 对 周边 机 器 产生 巨大 影响 。 


在 之 后 的 章节 中 介绍 技术 和 规格 时 还 会 提 到 上 述 四 种 结构 。 在 当前 阶段 这 些 结 
构 看 起 来 非常 难 懂 ， 尤 其 是 结构 类 型 2， 里 面 灶 合 了 太 多 内 容 ， 现 在 大 家 也 许 还 
完全 摸 不 着 头脑 。 不 过 ， 一 旦 理解 了 后 面 章节 介绍 的 技术 和 规格 之 后 再 回 过 头 
来 看 这 些 结构 类 型 时 ， 各 位 一 定 会 觉得 口 然 开朗 的 。 
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图 1.2.4 


兴 由 于 版 面 关 系 ， 部 分 服务 器 在 


单 路 并 联 式 结构 之 类 型 2 


图 中 省 


略 未 画 。 


1.2.2 ”选用 设备 时 应 参考 考查 项 的 最 大 值 


设备 的 物理 结构 制定 下 来 后 ， 我 们 就 要 考虑 应 该 选用 有 着 怎样 规格 (性 能 ) 的 
设备 。 根 据 什 么 要 素 去 选用 设备 ， 这 就 是 硬件 结构 设计 的 内 容 。 有 时 候 我 们 可 
能 还 会 需要 另外 准备 一 些 考查 项 ， 它 们 并 非 物理 设计 的 范畴 ， 而 是 属于 硬件 结 


， 设计 和 性 能 设计 中 的 内 容 。 本 书 立足 于 物理 设备 的 性 能 设计 来 讲解 物理 设 
计 。 


选择 设备 时 应 考虑 需要 的 功能 、 成 本 、 理 吐 率 、 连 接 器 的 数量 、 设 备 被 认可 和 
采纳 的 实际 情况 等 多 种 要 素 。 这 里 ， 我 们 着 重 针对 吞吐 率 和 连接 器 的 数量 进行 
说 明 。 这 两 个 要 素 可 以 成 为 我 们 选择 设备 时 的 绝对 性 指标 。 如 果 要 更 换 旧 机 
器 ， 最 好 利用 SNMP (Simple Network Management Protocol， 简 单 网 络 管理 协 

议 ) 预先 从 现 有 机 器 中 获取 这 两 个 指标 的 相关 数字 ， 为 今后 选择 设备 做 准备 。 

关于 SNMP 将 在 本 书 的 5.1.2 市 中 详细 介绍 。 如 果 要 增设 新 机 器 ， 则 应 根据 我 们 
设想 的 用 户 人 数 、 应 用 程序 和 信息 内 容 大 小 等 进行 预测 。 

尽管 这 种 情况 屡见不鲜 ， 但 是 像 吞 叶 率 和 连接 器 数量 这 样 的 考 碍 项 ， 用 它们 一 

般 的 平均 值 去 选择 设备 是 没有 多 大 意义 的 。 我 们 应 对 长 期 或 短期 的 访问 类 型 进 
行 分 机 ， 参 考 考 碍 项 的 最 大 值 去 选择 使 用 何 种 设备 。 


告 叶 率 


St 


图 1.2.5 参考 考查 项 的 最 大 值 
1.2.2.1 ”应 用 程序 不 同 吞 吐 率 也 就 不 同 


吞吐 率 指 的 是 应 用 程序 实际 传输 数据 的 有 效 速度 。 知 吐 率 中 包含 与 应 用 程序 相 
关 的 各 种 处 理 延迟 ， 因 此 实际 的 传输 速度 肯定 会 比 规格 上 的 理论 值 要 低 。 服 务 
器 问 的 否 吐 率 受 诸多 需求 因素 的 影响 ， 包 括 我 们 设想 的 最 大 连接 用 户 数 、 所 用 
应 用 程序 的 信息 流通 类 型 ， 等 等 。 我 们 应 在 对 这 些 因 素 了如指掌 的 基础 上 算出 
我 们 需要 的 吞吐 率 。 网 络 设备 的 各 生产 商 一 般 会 公布 其 产品 的 最 大 吞吐 率 ， 即 
在 不 发 生 位 丢失 的 情况 下 能 够 传输 的 最 高 速度 。 我 们 应 参考 那些 数据 ， 选 择 性 
能 上 仍 有 一 定 富余 的 机 髓 。 


有 的 设备 会 因为 启用 的 功能 导致 最 大 吞吐 率 降 低 。 遇 到 这 种 情况 ， 我 们 应 在 充 
分 考虑 使 用 的 功能 之 后 再 去 决定 机 器 的 最 大 吞吐 率 。 举 个 例子 ， 有 的 设备 在 仅 
启动 防火 墙 功 能 时 处 理 速度 可 以 达到 4Gbit/s， 但 同时 开启 IPS (入 侵 防御 系 
统 ) 功能 的 话 ， 处 理 速度 就 会 降 到 1.3Gbit/s。 如 果 一 定 要 用 IPS 功能 则 最 大 知 
吐 率 应 为 1.3Gbit/s， 这 个 值 才 是 我 们 应 参考 的 对 象 。 


1.2.2.2 ”新 增 连 接 数 和 并 发 连接 数 都 要 考虑 


连接 数 是 指 一 秒 钟 之 内 能 够 处 理 多 少 连接 。 连 接 数 的 值 越 大 ， 表 示 能 够 处 理 的 
数据 越 多 。 选 用 防火 墙 和 负载 均衡 器 时 我 们 需要 注意 这 个 数值 。 连 接 数 分 为 新 
增 连 接 数 和 并 发 连接 数 两 种 ， 新 增 连接 数 指 每 秒 钟 能 够 处 理 多 少 连 接 ， 并 发 连 
接 数 指 同时 能 够 维持 多 少 连接 。 


这 两 个 值 看 起 来 似乎 应 该 成 正比 ， 但 其 实 未 必 。 例 如 ， 当 FTP (File Transfer 
Protocol， 文 件 传输 协议 ) 这 样 的 协议 试图 在 长 时 间 内 维持 少量 的 连接 来 进行 访 
问 时 ， 并 发 连接 数 会 增多 ， 新 增 连 接 数 却 并 不 会 增加 多 少 。 


图 1.2.6 ”新 增 连接 数 和 并 发 连接 数 未 必 有 成 正比 


我 们 设想 的 最 大 连接 用 户 数 和 所 用 的 应 用 程序 会 影响 到 我 们 实际 需要 的 连接 

数 。 我 们 应 明确 了 解 这 些 因素 之 后 再 去 计算 所 需 的 新 增 连 接 数 和 并 发 连接 数 。 
各 生产 商 也 会 公布 其 产品 的 最 大 连接 数 ”， 我 们 应 参考 那些 数据 ， 选 择 性 能 上 仍 
有 一 定 富余 的 设备 。 无 论 是 最 大 者 增 连接 数 还 是 最 大 并 发 连接 数 ， 实 际 的 数字 
一 旦 超过 它们 ， 就 会 发 生 服务 延迟 。 


”有 的 生产 商 仅 公布 了 并 发 连接 数 。 


前 面 都 是 对 硬件 结构 设计 的 说 明 ， 归 根 结 底 ， 设 备 是 无 法 满足 超出 它们 规格 之 

外 的 和 要求 的 。 无 论 我 们 使 用 多 少 系 数 去 进行 怎样 的 计算 ， 得 出 的 结果 都 是 在 我 

们 能 够 设想 到 的 范围 之 内 。 有 些 企业 会 按照 极限 值 进行 设 定 并 根据 该 设 定 去 选 

用 设备 ， 可 是 那样 的 话 ， 一 旦 遇 到 出 乎 意料 的 巨大 通信 和 量 ， 就 会 措手不及 ， 根 

本 无 法 应 对 。 和 服务 器 相 比 ， 网 络 设备 的 使 用 寿命 一 般 更 长 一 些 ， 无 论 纵 向 扩 

和 展 都 比较 困难 ， 所 以 我 们 在 进行 性 能 设计 时 一 定 要 留 有 一 定 的 余 
入 


根据 什么 信息 去 选用 设备 ， 这 其 中 的 逻辑 真 的 十 分 重要 。 
1.2.3 ”选择 稳定 可 靠 的 OS 版 本 


网 络 设备 和 服务 器 一 样 都 是 在 OS 中 运行 的 。 然 而 不 可 思议 的 是 ， 人 们 往往 非常 
关心 服务 器 的 OS 版 本 ， 对 网 络 设 备 的 OS 版 本 却 不 是 那么 在 意 。 其 实 ， 网 络 设 
备 的 OS 版 本 也 和 服务 器 的 OS 版 本 同样 重要 。 尤其 是 最 近 的 网 络 设备 ， 有 些 是 
在 Linux OS 中 运行 并 在 该 OS 的 上 层 提供 服务 功能 的 ， 这 就 更 需要 我 们 在 深思 
熟 虚 之 后 做 出 决定 。 如 果 采 用 了 不 稳定 的 OS 版 本 ， 或 是 系统 内 出 现 了 OS 版 本 
差异 ， 那 就 可 能 会 给 今后 的 操作 运行 带 来 诸多 的 麻烦 和 障碍 ， 所 以 我 们 一 定 要 
认真 对 待 选择 OS 版 本 的 问题 。 


不 懂 就 问 是 捷径 


网 络 设备 使 用 的 OS 并 不 因为 它 是 最 新 的 版 本 或 者 执行 了 最 新 的 修改 程序 ( 补 

丁 、 修 补 程序 ) 就 一 定 是 稳定 的 。 该 OS 被 认可 采纳 的 实际 情况 如 何 ， 生 产 商情 
况 以 及 代理 商 的 推荐 起 着 重要 的 参考 作用 。 有 些 生产 商 和 代理 商会 公布 他 们 的 

推荐 版 本 和 稳定 版 本 。 男 一 方面 ， 也 有 些 企业 对 企业 内 使 用 何 种 版 本 是 有 明文 

规定 的 ， 最 好 参考 这 些 内 容 去 挑选 合适 的 OS 版 本 。 


OS 部 是 有 漏洞 的 。 系 统 运行 后 ， 生 产 商 和 代理 商会 通过 人 简讯 及 时 公布 各 种 漏洞 
的 存在 ， 但 我 们 不 必 去 一 一 应 对 ， 否 则 会 一 直 没 完 没 了 。 我 们 只 需要 挑 出 那些 
和 系统 使 用 功能 相关 的 漏洞 以 及 会 对 系统 产生 较 大 影响 的 漏洞 ， 对 它们 进行 修 
补 即 可 。 此 外 还 有 一 点 ， 文 持 期 限 也 可 以 成 为 我 们 挑选 OS 版 本 时 的 一 个 考查 
项 。 有 些 机 器 使 用 的 每 种 OS 版 本 都 设 有 各 自 的 支持 期 限 ， 一 旦 超过 该 期 限 ， 官 
方 将 不 再 提供 任何 补丁 。 本 来 一 直 使 用 同一 个 版 本 这 种 事情 就 是 不 可 能 的 ， 所 
以 我 们 应 该 定期 地 检查 当前 正在 使 用 的 OS 版 本 ， 不 断 进 行 版 本 升级 。 下 面 以 负 
ee 


表 1.2.2 不 同 版 本 有 不 同 的 支持 期 限 (截至 2013 年 12 月 的 数据 ) 


2013 年 06 月 2015 年 06 月 11 日 


2012 年 2015 年 09 月 


2012 年 


2014 年 
2011 年 日 2013 年 月 日 2014 年 08 月 24 
2012 年 2015 年 12 月 日 2016 年 


2011 年 日 2015 年 


2015 年 12 月 


2016 年 
2015 年 12 月 日 2016 年 12 月 31 


* 参考 网 页 : http://support.f5.com/kb/en-us/solutions/public/5000/900/so15903.html?sr=28305237 


1.2.4 ”根据 实际 配置 和 使 用 目的 选择 线 纲 


这 里 ， 我 们 要 设计 用 于 连接 的 网 线 ， 也 就 是 要 选择 使 用 什么 线 缆 进 行 连接 。 

前 ， 对 用 于 服务 占 端 物理 层 的 传输 媒介 我 们 有 两 个 选择 一 一 双 绞 线 中 级 和 光纤 
光缆 。 如 今 ， 无 线 LAN 即使 再 高 速 ， 系统 管理 人 员 也 不 全 跃跃欲试 地 想 把 它们 
用 到 服务 器 端 去 吧 。 在 选择 使 用 哪 种 传输 媒介 时 ， 我 们 必须 充分 考虑 成 本 、 便 


利 性 、 物 理 层 面 的 配置 以 及 数据 用 途 等 实际 需求 。 这 里 ， 我 们 将 着 重 针 对 物理 
层面 的 配置 和 数据 用 途 进行 说 明 。 


1.2.4.1 ” 远 距离 传输 选择 光纤 光缆 


前 面 已 经 讲 过 ， 用 于 有 线 LAN 的 线 缆 都 会 受到 传输 距离 的 限制 。 距 离 越 远 信号 
强度 束 越 低 ， 数 据 的 损耗 率 束 越 大 ， 当 然 否 吐 率 也 会 下 降 。 特 别 是 双 绞 线 电 
缆 ， 由 于 仅 能 延伸 到 100 米 处 ， 该 现象 尤为 突出 。 如 果 需 要 跨越 好 几 个 楼 层 或 
征 跨 越 大 楼 或 房子 ， 最 后 设备 间 的 距离 又 接近 100 米 的 话 ， 那 么 选择 光纤 光缆 
会 比较 安全 。 如 果 需 要 连接 到 更 远 的 地 方 ， 则 建议 选择 单 模 光 纤 光 绕 。 我 们 应 
该 根据 传输 距离 选择 传输 媒介 。 


A 栋 二 般 情况 下 会 使 用 多 根 
交换 机 #1 光线 连接 以 实现 宛 祭 化 


如 果 间 距 已 接近 100 米 ， 
应 选择 光 妊 光 纺 进行 连接 


图 1.2.7 如 果 间 距 已 接近 100 米 ， 应 选择 光纤 光缆 进行 连接 


当 交 换 机 并 不 支持 光纤 光 统 却 需要 延伸 传输 距离 的 时 候 ， 我 们 可 以 用 媒体 转换 

器 来 解决 这 个 问题 。 媒 体 转换 器 是 将 双 绞 线 电 比 中 流通 的 电信 号 转换 为 能 在 光 

纤 光 绕 中 流通 的 光 信 号 的 机 器 。 首 先 ， 我 们 将 不 支持 光纤 光线 的 设备 通过 双 绞 
线 电 缆 连 到 媒体 转换 器 上 ; 接 下 来 ， 用 SC-SC 光纤 光缆 将 其 续 接 到 另 一 台媒 体 
转换 器 上 ; 最 后 ， 我 们 再 次 使 用 双 绞 线 电 缆 将 媒体 转换 器 连接 至 另 一 台 设备 。 

这 样 ， 传 输 距 离 就 得 以 延伸 了 。 由 于 媒体 转换 器 只 能 使 用 SC 型 光纤 连接 器 ， 所 
以 这 种 情况 时 我 们 需要 使 用 SC-SC 光纤 光缆 。 


将 理 信 号 策反 为 将 党 信和 次 转 绕 为 
北 信和 共 的 信号 


设备 则 使 示 雪 持 光 
计 光 秽 , 优 输 距离 也 
候 往 出 100 米 


图 1.2.8 ”利用 媒体 转换 器 来 延伸 距离 
1.2.4.2 ”追求 宽频 带 和 高 可 靠 性 时 选择 光纤 


双 绞 线 电缆 在 高 频 下 的 信号 衰减 十 分 明显 ， 所 以 用 于 宽频 (高 速 ) 传输 的 话 性 
能 有 限 。 最 近 ， 通 信 统 一 已 成 为 一 种 趋势 ， 各 种 通信 类 型 都 开始 在 网 络 中 出 
现 。 就 好 像 三 条 车 道 比 一 条 车 道 好 用 、 道 路 越 宽敞 就 越 不 容易 发 生 交 通 拥 墙 那 
样 ， 如 今 ， 宽 带 传 输 已 成 为 了 系统 设计 中 不 可 或 缺 的 内 容 。 像 iSCSI、FCoE 
(Fiber Channel over Ethernet， 以 太 网 光纤 通道 ) 等 存储 器 通信 那样 既 需 要 始终 
维持 宽带 、 又 追求 高 可 靠 性 的 通信 ， 使 用 光纤 光缆 比较 合适 。 另 外 ， 通 往 位 于 
上 层 的 核心 交换 机 、 汇 聚 交换 机 8? 等 交换 机 的 上 行 部 分 也 容易 汇集 大 量 的 通信 数 
据 ， 因 此 也 同样 需要 宽带 和 高 可 靠 性 。 在 这 些 地 方 我 们 应 使 用 光纤 光缆 以 确保 
宽带 和 高 可 靠 性 。 


| 8 汇率 交换 机 是 指 将 接 入 交换 机 和 服务 器 交换 机 集中 到 一 处 的 交换 机 ， 也 叫 分 布 交换 机 。 


核心 交换 机 核心 交换 机 
{ VSS 活动 状态 ) ( VSS 热 待机 状态 ) 


一 一 使 用 光纤 光缆 


服务 器 交换 机 
( Stack Member ) 


: 服务 网 络 
; (核心 部 分 ) 


服务 器 交换 机 
[ Stack Master ) 


人 


ELIEZER 


; 服务 网 络 
; ( 边缘 部 分 ) 


- 0 
机 


ELLEEELEEEEEEEEE ELL 
天 


图 1.2.9 ”追求 宽频 带 和 高 可 靠 性 时 选择 光纤 光缆 
1.2.4.3 ”通过 大 小 分 类 决定 使 用 哪 种 双 绞 线 电 缆 


使 用 双 绞 线 电 缆 时 ， 首 先 要 注意 它 的 大 分 类 。 双 绞 线 电缆 越 是 接近 宽频 带 的 规 
格 就 会 越 容易 受到 电磁 干扰 ， 所 以 必须 慎重 选择 合适 的 大 分 类 。 例 如 ， 对 于 
1000BASE-T 笔者 推荐 使 用 5e 以 上 的 规格 ， 对 于 10GBASE-T 则 推荐 使 用 6A 以 
es 0 哪 种 大 分 类 ， 这 样 以 后 才 不 会 糊 里 糊 
涂 、 不 知 所 措 。 


双 绞 线 电 缆 还 有 直通 线 和 交叉 线 这 两 个 小 分 类 ， 所 以 使 用 双 绞 线 电 缆 时 我 们 还 
必须 决定 选择 其 中 哪 一 类 。 当 Auto MDVMDI-X 功能 处 于 激活 状态 时 我 们 可 以 


不 必 在 意 小 分 类 ， 然 而 当 该 功能 未 被 激活 时 ， 小 分 类 不 相符 的 话 就 会 无 法 连 
通 。 我 们 可 以 立 下 类 似 这 样 的 约定 ， 连 接 同 种 网 络 设备 时 使 用 交叉 线 ， 连 接 服 
务 器 、PC 以 及 不 同 种 类 的 网 络 设备 时 使 用 直通 线 。 


”连接 同 种 网 络 设备 的 部 分 
使 用 交叉 线 
防火 墙 oose 防火 墙 
( 活动 状态 ) : ; (待机 状态 ) 


[了 了 了 了 了 工 了 工 工 了 工 工 了 了 ”ee 
费 


服务 块 DAIS 
连接 不 同 种 类 网 络 设备 的 
: 部 分 使 用 直通 线 

汇聚 交换 机 | ; 。 | 汇 束 交换 机 

Cs le 
腿 务 器 交换 机 服务 路 交接 机 

TY EE EE 

Ws 于 服务 叶 的 部 分 


. 
+ 


图 1.2.10 ” 当 Auto MDLIMDI-X 功能 未 被 激活 时 决定 是 使 用 交叉 线 还 是 直通 线 


1.2.4.4 ”预先 决定 好 使 用 线 缆 的 颜色 


线 缆 的 颜色 很 重要 ， 这 一 点 容易 被 人 们 忽视 。 预 移 确定 好 在 什么 地 方 ， 或 者 说 
针对 什么 机 器 使 用 什么 颜色 的 线 缆 ， 我 们 就 能 一 眼看 出 该 线 缆 的 用 途 ， 以 便 进 
行 管 理 。 一 般 说 来 ， 按照 线 缆 的 小 分 类 划 分 颜色 较为 常见 ， 例 如 交叉 线 用 红 
色 、 直 通 线 用 蓝 色 。 这 样 ， 当 线 缆 有 问题 时 我 们 一 看 就 知道 要 准备 什么 线 缆 去 
炊 换 ， 有 助 于 快速 解决 问题 。 

这 么 一 说 ， 笔 者 想起 来 曾 在 某 个 服务 器 端 见 过 色彩 斑 壮 犹如 彩虹 的 线 缆 阵 容 。 


总 共有 九 种 颜色 ， 的 确 是 鲜艳 无 比 、 漂 亮 非凡 。 然 而 ， 对 于 如 此 多 彩 的 LAN 网 
线 我 只 觉得 惊讶 不 已 ， 这 样 安排 的 话 ， 不 预 移 围 积 大 量 的 备用 线 缆 ， 以 后 扩展 


系统 时 得 伦 多 少 精 力 去 配置 它们 啊 。 所 以 ， 我 们 在 定义 颜色 时 还 是 着 眼 于 其 
的 几 个 关键 点 比较 好 


到 这 里 我 们 已 经 讲述 了 应 该 选择 怎样 的 线 线 。 也 许 有 的 读者 会 想 ， 全 都 使 用 光 
纤 光 缆 不 就 好 了 ? 可 能 的 确 如 此 ， 如 果 贯 公司 财力 雄厚 可 以 花 钱 如 流水 ， 那 么 
无 可 厚 非 ， 然 而 并 非 所 有 企业 都 是 如 此 ， 光 纤 的 线 缆 和 连接 器 都 是 比较 贵 的 ， 
而 且 有 些 设备 压根 就 没有 光纤 连接 器 。 在 这 个 充满 艰 闻 的 世界 上 生存 ， 我 们 得 
勤俭 节约 才 行 ， 所 以 还 是 多 多 精打细算 ， 仅 在 机 器 间距 离 遥 远 以 及 需要 提高 传 
输 质量 的 少数 情况 下 使 用 光纤 光缆 吧 。 


1.2.5 ”端口 的 物理 设计 出 乎 意料 地 重要 


在 这 里 ， 我 们 要 设计 将 什么 对 象 连接 到 何 处 的 基本 规则 。 内 容 虽 极其 单纯 ， 但 
对 今后 的 运行 管理 却 影响 巨大 。 如 果 将 服务 器 和 PC 不 加 考虑 地 随意 连 到 空 几 端 
口上 ， 发 生 问 题 时 就 会 弄 不 清 到 展 是 哪里 连接 着 哪些 机 器 。 不 统一 基本 规则 就 
去 连接 的 话 ， 系 统 结构 就 无 法 在 脑海 中 留 下 清晰 的 印象 。 所 以 我 们 一 定 要 在 设 
计 阶 段 制 定好 明确 易 民 的 规则 ， 明 确 什 么 设备 连 在 何 处 。 


1.2.5.1 ”必须 统一 规划 连接 到 哪里 


保持 统一 性 这 一 后 在 设计 阶段 非常 重要 。 因 此 ， 如 果 现 有 系统 中 已 经 有 了 基本 
规则 ， 我 们 最 好 去 遵循 它 。 无 税 现 有 的 基本 规则 去 进行 系统 漆 交 和 扩展 从 会 计 
今后 的 局 面 混 乱 不 堪 。 如 果 是 新 建 一 个 系统 ， 那 就 要 从 无 到 有 地 制定 出 基本 规 
则 。 这 时 ， 设计 人 员 必 须要 制定 出 明确 易 懂 、 便于 扩展 的 基本 规则 。 


以 笔者 制定 的 基本 规则 为 例 : 如 采 连 接 是 并 列 配置 和 上 下 配置 的 网 络 设备 的 端 
口 ， 由 于 它们 不 太 会 发 生 增 减 ， 所 以 有 要 从 尾 号 器 口 开始 使 用 ; 相反， 如 采 连 接 
的 是 服务 器 和 PC 的 端口 ， 由 于 它们 很 可 能 会 发 生 增 减 ， 所 以 要 从 小 号 端口 开始 
使 用 。 我 们 要 像 这 样 针 对 设备 的 每 项 功能 制定 出 基本 规则 。 


图 1.2.11 保持 连接 的 统一 性 
1.2.5.2 ”速率 和 双 工 、Auto MDI/MDI-X 的 设置 也 要 统一 规划 


在 前 文中 已 经 讲 过 ， 当 相连 的 两 台 设 备 各 目的 端口 速率 和 双 工 不 一 致 时 ， 通 信 
是 不 成 立 的 ， 所 以 我 们 必须 制定 好 基本 规则 以 确保 它们 一 致 。 和 上 一 节 一 样 ， 
加 过 浊 何 用 和 序 中 已 经 有 了 基本 规则 ， 我 们 最 好 去 遵循 它 。 如 果 是 者 建 一 个 系 
我 们 就 要 基于 连接 对 象 去 考虑 速率 和 双 工 的 设置 。 最 近 ， 连接 双方 发 生 兼 
雁 问 题 的 情况 已 经 越 来 起 少 所 有 冰 口 都 是 目 动 设置 的 情况 则 越 来 越 多 。 这 固 
然 是 一 种 可 能 存在 的 理想 状态 ， 不 过 在 这 里 ， 将 连接 双方 手动 设 成 固定 值 还 是 
采用 自动 设置 这 件 事情 并 不 重要 ， 重 要 的 是 制定 一 个 清晰 的 基本 规则 以 保证 两 
台 设 备 保持 步调 一 致 。 


PEEEEELEELELEEELEEEEEEEELEEEEEEEELEELEEEEELELEEEEEELEEEEEEEEEEEEEEEEELEEEEEEEELELEEEEEEEELE 


和 
二 手动 设 为 固定 值 


进行 自动 


图 1.2.12 让 两 台 设 备 的 速率 和 双 工 保持 一 致 非常 重要 


1.2.6 ”巧妙 地 配置 设备 


将 设备 分 别 配置 到 楼 层 的 何 处 ， 这 也 是 物理 设计 的 内 容 之 一 。 我 们 要 在 考虑 整 
个 物理 结构 及 其 可 扩展 性 的 基础 上 将 设备 分 配 到 楼 层 各 处 。 此 外 ， 如 何 将 设备 
配置 到 机 架 中 去 也 非常 重要 ， 我 们 应 熟悉 设备 规格 并 仔细 项 本 将 它们 配置 到 哪 
里 以 及 具体 该 如 何 配 置 。 


1.2.6.1 ”将 核心 交换 机 和 汇率 交换 机 置 于 中 央 部 位 
我 们 应 将 设备 置 于 楼 层 的 何 处 ， 又 该 如 何 进行 具体 配置 呢 ? 这 是 个 关系 到 网 络 


的 物理 结构 和 可 扩展 性 的 问题 。 大 多 系统 都 是 按照 设备 的 角色 和 功能 去 安排 分 
层 结构 中 的 网 络 构造 的 ， 按 照排 列 层次 去 考虑 设备 的 配置 应 该 比较 高 效 。 


举 个 例子 ， 假 设 该 系统 由 核心 交换 机 ?2 、 汇 聚 交 换 机 也 和 接 入 交换 机 工 这 三 种 
要 素 构 成 。 这 种 情况 下 ， 接 入 交换 机 之 外 的 其 他 设备 是 不 会 在 突然 之 间 大 量 增 

设 的 ， 于 是 我 们 可 以 将 这 些 设备 配置 在 楼 层 和 机 箱 室 等 指定 场地 的 中 央 部 位 。 

而 接 入 交换 机 可 能 因 服 务 恬 台数 的 增加 而 增加 ， 我 们 应 将 它们 分 散 配 置 以 应 不 
时 之 需 。 接 入 交换 机 有 端 列 头 (End of Row) 和 机 架 
2 也 是 优 缺 点 并 存 ， 我 们 在 选择 时 应 和 管理 成 本 和 运行 的 人 员 进 行 充 
分 的 探 二 


9 核心 交换 机 是 在 系统 中 发 挥 核 心 作用 的 交换 机 ， 将 汇聚 (分布 ) 交换 机 汇集 到 一 起 。 


1 


SS 


汇聚 交换 机 是 将 接 入 交换 机 汇集 到 一 起 的 交换 机 ， 又 叫 分 布 交换 机 。 


1 接 入 交换 机 是 连接 服务 器 的 交换 机 。 


表 1.2.3 交换 机 有 两 种 配置 类 型 


比较 事项 端 列 头 式 机 架 顶 式 


接 入 交换 器 的 设 整个 机 架 列 整个 机 架 


采用 端 列 头 式 配 置 可 以 一 气 呵 成 地 完成 设备 连接 


端 列 头 式 配 置 是 以 整个 机 架 列 为 单位 配置 接 入 交换 机 的 类 型 。 由 较 大 的 模块 型 
交换 机 接纳 较 多 的 服务 器 ， 如 采 服 务 器 增加 ， 玖 增设 接口 模块 来 对 应 。 采 用 这 
种 配置 闫 型 会 有 从 量 的 线 缆 在 机 以 之 间 穿 插 交 织 ， 线 缆 的 布线 作业 比较 繁琐 ， 
但 是 需要 管理 的 接 入 交换 机 的 数量 比较 少 。 
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机 架 的 正面 示意 图 


图 1.2.13 采用 端 列 头 式 配置 时 只 需 管理 少量 设备 即 可 
采用 机 架 顶 式 配 置 可 以 在 整个 机 架 之 间 进 行 连接 


机 架 顶 式 配 置 是 以 整个 机 架 为 单位 配置 接 入 交换 机 的 类 型 。 由 较 小 的 固定 型 交 
换 机 接纳 机 架 内 的 所 有 服务 器 ， 机 架 内 的 服务 器 配 线 无 需 太 长 ， 在 机 染 内 部 能 
连接 到 设备 即 可 。 由 于 是 在 一 个 个 机 架 中 配置 接 入 交换 机 ， 需 要 管理 的 设备 数 
量 会 比较 多 ， 不 过 线 缆 的 布线 作业 比较 轻松 ， 线 缆 成 本 也 有 所 降低 。 
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图 1.2.14 “采用 机 架 顶 式 配置 时 线 缆 的 布线 作业 比较 轻松 
1.2.6.2 ”要 考虑 设备 中 空气 吸入 和 排出 的 方向 


将 设备 置 于 机 架 的 什么 地 方 ， 具 体 义 是 如 何 安装 的 ， 这 也 是 个 重要 的 问题 。 最 
近 ， 也 有 数据 中 心 对 空气 的 流动 进行 了 细致 的 设计 ， 通 过 向 机 架 通 道 交 蔡 送 出 
六 守 人 从 人 六 代 后 囊 楼层 的 7、 令 效 率 。 在 这 种 空气 调节 的 设计 中 ， 保 证 

空气 不 互相 混合 非常 重要 。 如 果 我 们 不 了 解 各 种 设备 在 工作 时 哪 面 会 吸入 
安信 让 面 会 排 出 人 所 束 会 导致 冷 热 混 流 。 所 以 ， 一定 要 在 仔细 了 解 设备 规 
格 之 后 再 将 它们 安装 到 机 架 上 去 。 


向 通道 交 析 送 出 热 空 气 
和 冷 空气 


向 背面 排出 热 空气 


从 正面 双 入 冷 空气 


冷 通道 


图 1.2.15 “充分 考虑 设备 吸入 和 排出 空气 的 方向 后 再 将 设备 安装 到 机 架 上 
1.2.6.3 ”从 两 套 系统 获取 电源 


网 络 设备 是 非常 精密 的 电子 机 器 。 无 论 我 们 对 设备 的 功能 和 物理 结构 做 了 怎样 
的 元 余 配置 ， 没 有 电 的 话 设备 就 无 法 工作 。 所 以 我 们 还 要 对 电源 进行 设计 ， 确 
保 当 系统 某 处 发 生 断 电 情 况 时 也 能 够 继续 提供 服务 。 


切 莫 弄 错 电 源 插 头 


用 于 网 络 设 备 和 服务 器 的 电源 种 类 非常 繁多 ， 我 们 应 根据 设备 的 适用 电流 (A) 
和 电压 (V) 去 选择 引入 机 架 的 电源 。 这 里 必须 注意 的 是 电源 插座 的 形状 ， 电 源 
播 头 和 电源 插座 的 形状 不 吻合 的 话 就 会 因 插 不 进去 而 无 法 通电 ， 这 是 不 言 自明 
0 痛哭 流 涕 的 
分 o 


常用 的 电源 插座 有 四 种 形状 。 如 果 电 源 电 压 为 100V， 那 么 可 以 使 用 和 家 用 电源 
插座 一 样 的 NEMA 5-15 型 或 可 锁 式 的 NEMA L5-30 型 插座 ， 如 果 电 源 电压 为 


200V， 那 么 可 以 使 用 NEMAL6-20 型 或 NEMAL6-30 型 插座 。L 表示 能 否 味 鸣 
一 声 就 锁 住 , 工 后 面 的 数字 5 代表 100V，6 代表 200V， 横 杠 后 面 的 数字 代表 安 
培 数 。 我 们 应 在 考虑 设备 适用 的 电压 和 整个 机 架 的 安 增 数 之 后 选择 引入 哪 种 电 
源 。 模 块 型 网 络 设备 和 刀片 服务 器 的 安培 数 会 因 其 安装 的 模块 和 刀片 的 数量 及 
种 类 而 变化 。 我 们 在 计算 安培 数 的 时 候 要 为 可 扩展 性 考虑 ， 保 留 一 定 余 地 ， 避 
免 出 现 机 架 上 虽然 有 空 的 插 槽 却 不 能 使 用 的 窒 况 。 


表 1.2.4 电源 插座 有 多 种 形状 


NEMA 5-15 NEMA L5-30 NEMA L6-20 NEMA L6-30 


电流 
电源 引入 机 架 之 后 会 出 现 两 个 分 支 ， 一 个 是 PDU (Power Distribution Unit， 电 
源 分 配 单 元 /电源 板 ) ， 另 一 个 是 UPS (Uninterruptible Power Supply， 不 间断 


电源 ) 。 如 果 电 压 为 100V， 那么 插座 形状 和 家 用 插座 是 一 样 的 ， 直 接 使 用 即 
可 。 但 如 果 电 压 为 200V， 我 们 就 要 注意 区 别 PDU 和 UPS 了， 它们 的 插座 形状 
分 别 为 EC320 C13 型 和 IEC320 C19 型 ， 要 使 用 符合 它们 形状 的 电源 线 缆 才 
行 。 


表 1.2.5 电压 为 200V 时 应 注意 PDU 和 UPS 的 插座 形状 


连接 的 插座 IEC320 C13 IEC320 C19 


插座 的 形状 


连接 200V 的 PDU 连接 200V 的 UPS 


按照 用 途 区 别 使 用 电源 系统 
要 想 对 电源 进行 元 余 配置 ， 就 必须 具备 一 个 前 提 ， 那 就 二 在 一 个 机 架 中 布设 两 


套 电 源 系统 ， 这 古 绝对 条 件 。 如 果 仅 布设 了 一 套 电源 系统 ， 那 么 无 论 在 机 架 内 
做 怎样 的 电源 元 余 配置 都 是 毫 无 意义 的 。 这 里 ， 我 们 以 机 小 中 布设 有 A、B 两 
套 电源 系 帝 为 前 提 进行 说 明 。 根据 实际 需要 ， 我 们 可 能 会 在 两 套 系统 中 都 设置 
UPS 马 或 仅 对 其 中 一 套 设置 UPS。 


对 于 电源 单元 已 做 元 余 配置 的 机 器 ， 我 们 无 需 考虑 太 多 ， 让 其 从 A、B 系统 分 

别 获取 电源 即 可 。 这 样 ， 即使 其 中 一 套 电 源 发 生 故 障 ， 服 务 也 不 会 受到 丝毫 的 

影响 。 然 而 对 于 电源 单元 未 做 元 余 配置 的 机 器 ， 我 们 就 要 根据 设备 本 身 的 元 余 

状态 (活动 /待机 、Stack MastevMember 等 ) 和 连接 路 线 将 电源 获取 系统 分 开 

了 。 如 果 活 动机 和 备用 机 都 是 从 同一 系统 获取 电源 ， 那 么 该 系统 发 生 故 障 时 我 

们 就 会 一 筹 莫 展 、 无 计 可 施 。 所 以 我 们 应 该 将 电源 系统 分 开 使 用 ， 让 活动 机 从 
A 系统 获取 电源 ， 让 备用 机 从 B 系统 获取 电源 。 


CEE EE 


图 1.2.16 ”划分 系统 获取 电源 
1.2.6.4” 切 英超 过 最 大 承重 


大 多 数 数 据 中 心 和 机 房 的 地 板 都 是 双 屋 构造， 便于 从 下 方 吹 送 冷 空气 和 布设 机 
J 绕 。 因 此 ， 为 防止 机 架 下 沉 我 们 还 需 确定 最 大 承重 值 。 最 大 承重 分 
两 种 ， 分 别 是 机 架 的 最 大 承重 和 地 板 的 最 大 承重 。 机 架 的 最 大 承重 指 的 是 机 架 
所 外 地 才 的 重量 地 板 的 最 大 承重 则 指 地 板 每 平方 米 单位 所 能 承载 的 重量 。 如 
果 在 空 处 配置 了 太 多 服务 器 和 网 络 设备 ， 机 架 无 疑 会 下 沉 。 所 以 我 们 在 考虑 设 
备 配 置 时 还 必须 了 解 它 们 的 最 大 重量 。 模 块 型 网 络 设 备 和 刀片 服务 融 的 重量 会 
因 其 安装 的 模块 和 刀片 的 数量 而 变化 ， 我 们 要 算出 安装 了 各 种 设备 时 的 最 大 总 
重量 ， 并 为 可 扩展 性 考虑 ， 留 出 一 定 的 余地 。 


机 架 (100kg) 


机 箱 ( 30kg ) 


电源 、 风 房 托 架 ( 20kg ) 


全 精 槛 :( 5Kg ) 
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图 1.2.17 切 英超 过 最 大 承重 (实际 情况 可 不 会 像 图 例 中 那么 轻 ) 


第 2 章 逻辑 设计 
本 章 概 要 


本 章 主要 介绍 用 于 服务 器 端的 数据 链 路 层 和 网 络 层 的 技术 ， 以 及 使 用 这 些 
技术 时 的 设计 要 点 。 


最 近 这 几 年 ， 和 网 络 相 关 的 基础 技术 并 未 取得 较 大 发 展 ， 不 过 倒是 变 得 越 
发 纯粹 和 简练 了 。 然 而 ， 用 于 服务 器 端 和 客户 端的 刀片 服务 器 和 虚拟 化 近 
术 等 却 在 日 新 月 异地 进步 ， 人 们 追求 的 网 络 形式 也 在 不 断 发 生变 化 。 我 们 


要 好 好 理解 这 些 技术 和 规格 ， 设 计 出 最 符合 客户 需求 的 逻辑 结构 ， 以 灵活 
应 对 这 些 变化 。 


2.1 数据 链 路 层 的 技术 


数据 链 路 层 在 物理 层 的 上 方 提 供 了 一 种 能 够 正确 且 稳 定 地 传输 比特 流 的 结构 。 
物理 层 仅 仅 负责 将 比特 流转 换 成 信号 并 传递 给 线 缆 ， 既 不 知道 信号 会 发 往 何 
处 ， 也 不 在 意 某 一 位 是 否 会 在 某 处 丢失 。 数 据 链 路 层 则 刚好 能 够 弥补 物理 层 的 
这 个 短处 ， 它 能 生成 通 往 相 邻 设备 的 逻辑 传输 路 径 (数据 链 路 ) ， 检 查 出 其 中 
的 传输 错误 并 将 错误 修复 ， 从 而 确保 物理 层 的 可 靠 性 。 


2.1.1 数据 链 路 层 是 物理 层 的 帮手 


数据 链 路 层 是 用 于 确保 物理 层 可 靠 性 的 层 。 数 据 链 路 层 中 的 “数据 链 路 ”表示 由 
它 生 成 的 、 和 相 邻 设备 〈 节 点) 之 间 的 逻辑 传输 路 径 。 


为 了 判断 应 针对 哪个 节点 生成 数据 链 路 以 及 生成 的 数据 链 路 中 是 否 有 位 缺失 ， 
数据 链 路 层 会 对 数据 进行 封 狼 处 理 ， 确 保 物 理 层 的 可 靠 性 。 在 数据 链 路 层 进行 
的 这 种 数据 封 厂 处 理 叫 作成 帧 ， 封 装 之 后 的 数据 叫 作 帧 。 在 数据 链 路 层 定 义 了 
成 帧 的 各 种 方式 。 


数据 链 路 层 位 于 网 络 层 和 物理 层 之 间 ， 是 从 下 往 上 数 的 第 二 层 。 发 送信 息 时 ， 


数据 链 路 层 将 来 自 网 络 层 的 数据 (数据 包 ) 封装 成 帧 后 交 给 物理 层 ;接收 信息 
时 则 对 来 自 物 理 层 的 比特 流 做 一 个 和 成 帧 恰好 相反 的 处 理 ， 然 后 交 给 网 络 层 。 
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图 2.1.1 在 数据 链 路 层 将 数据 封装 成 帧 


用 以 太 网 标准 进行 成 帧 处 理 


Ee 我 们 来 看 看 承担 着 数据 链 路 层 核心 作用 的 封装 处 理 “ 成 帧 ”具体 是 怎么 


数据 链 路 层 和 物理 层 是 同 甘 共 若 、 休 不 与 共 的 关系 ， 成 帧 的 规格 也 和 二 者 紧密 

相连 。 以 往 有 令 牌 环 网 、 帧 中 继 、PPP 等 林林总总 的 各 式 规 格 ， 不 过 现在 我 们 

只 需 记 住 以 太 网 (IEEE802.3) 这 一 个 就 够 了 ， 接 下 来 本 书 将 为 你 讲解 以 太 网 
(IEEE802.3) 是 如 何 进 行 成 帧 处 理 的 。 


图 2.1.2 ”通过 封装 成 帧 确保 位 不 会 丢失 


以 太 网 的 成 帧 规格 可 粗略 划分 为 Ethernet 1 (DIX) 和 IEEE802.3 这 两 种 。 
IEEE802.3 是 将 Ethernet 由 改良 之 后 根据 IEEE 标准 制定 出 来 的 ， 但 实际 上 大 多 
数 数据 通信 使 用 的 还 是 Ethernet 1 规格 。Ethernet | 的 帧 格式 已 经 保持 20 多 年 没 
变 了 ， 是 一 种 非常 简约 而 又 容易 理解 的 格式 。Ethernet 1 给 数据 (数据 包 ) 添加 
前 导 和 码 、 帧 头 和 FCS (Frame Check Sequence， 帧 校 验 序列 ) 。 


前 导 码 相当 于 发 送 帧 的 信和 号 

前 导 码 是 一 个 8 字 节 (64 位 ) 的 位 数组 ， 相 当 于 一 个 “我 要 发 送 帧 了 哦 ”的 信 

号 。 它 和 “10101010...... (中 间 省 略 ) .. 10101011” 的 位 数组 一 定 是 一 样 的 。 对 
方 看 到 这 个 特别 的 位 数组 之 后 就 能 知道 即将 会 接收 到 帆 。 

帧 头 决定 将 信息 发 至 何 处 

帧 头 由 三 个 字段 构成 ， 分 别 为 目的 MAC 地址 、 源 MAC 地 址 和 类 型 。 


。 目的 MAC 地 址 / 源 MAC 地 址 


那么 ， 发 送 数据 时 应 生成 一 个 始 于 何 处 终于 何 处 的 数据 链 路 ， 又 要 发 送 怎 
样 的 数据 呢 ? 这 些 都 由 帧 头 定义 。 在 以 太 网 中 ， 一 般 会 用 一 个 长 度 为 6 字 
节 (48 位 ) 、 叫 作 MAC 地 址 的 识别 信息 去 识别 节点 。 发 送 数据 的 节点 在 
目的 MAC 地 址 里 写 入 目的 节点 的 MAC 地 址 ， 这 便 是 数据 链 路 的 终点 ; 在 
源 MAC 地 址 里 写 入 本 机 MAC 地址， 这 便 是 数据 链 路 的 起 点 。 


。 类 型 


类 型 决定 数据 部 分 的 数据 包 使 用 何 种 协议 ， 网 络 层 协议 决定 这 里 的 具体 数 
值 是 多 少 。 下 表 中 列 出 了 部 分 具有 代表 性 的 协议 类 型 代码 。 


表 2.1.1 具有 代表 性 的 协议 类 型 代码 


类 型 代码 (十 六 进 制 ) 协议 


IPv4 (Internet Protocol Version 4， 网 际 协 议 第 四 版 ) 


ARP (Address Resolution Protocol， 地 址 解析 协议 ) 


IPv6 (Internet Protocol Version 6, 示 协 议 第 六 版 ) 


IEEE802.1Q (Tagged VLAN， 加 标签 的 虚拟 局 域 网 ) 


数据 即 IP 数据 包 


这 里 说 的 数据 指 的 是 从 网 络 层 发 来 的 数据 包 。 有 时候 也 可 将 其 视 为 LLC 
(Logical Link Control， 逻 辑 链 路 控制 ) 数据 ， 不 过 Ethernet 1 中 并 没有 LELC 子 
层 的 处 理 。 因 此 ， 我 们 可 以 认为 数据 即 IP 数据 包 。 帧 能 够 传输 的 数据 长 度 默 认 
最 大 值 为 1500 字 节 工 ， 这 个 最 大 值 叫 作 MTU (Maximum Transmission Unit， 最 
大 传输 单元 ) 。 当 数据 长 度 超过 1500 字 节 时 ， 必 须 对 整个 MTU 进行 数据 分 段 
和 封闭， 然后 再 转发 到 和 点 。 关 于 MTU 的 内 容 将 在 3.1.1.3 下 中 详细 说 明 。 


1 我 们 也 可 将 默认 最 大 值 设置 成 大 于 1500 字 节 的 数字 。 默 认 最 大 值 大 于 1500 字 节 的 帧 叫 作 巨型 帧 。 
用 FCS 检查 数据 错误 
FCS (Frame Check Sequence， 帧 校 验 序列 ， 字段 用 来 检查 数据 是 否 发 生 了 错 
误 。 发 送 方 在 发 送信 息 时 会 对 帧 头 和 数据 进行 一 定 的 计算 ( 校 验 和 计算 ， 又 称 


CRC， 即 循环 元 余 校 验 ) ， 并 将 计算 结果 添加 到 FCS 中 去 。 接 收 方 在 接收 信息 
时 会 再 次 进行 同样 的 计算 ， 得 出 的 值 如 采 和 FCS 中 添加 的 值 一 致 ， 则 认为 帧 是 


正确 无 误 的 。 如 采 不 一 致 ， 则 会 认为 数据 在 传输 过 程 中 发 生 了 错误 ， 
据 丢 弃 。FCS 就 是 这 样 在 数据 链 路 中 起 着 错误 控制 的 作用 。 


i 
了 在 7 的 信号 


于 是 将 数 


Pr i 


前 醒 七 个 学 和 
部 怒 10 


图 2.1.3 以太 网 的 帧 格式 非常 清晰 ， 容 易 理 解 


加 278 2013:04.06 g3:24;01.230791492.168.1.20 192.168.1.8 74 Echo {ping} Tequstk 出-Gx0001， se,,. 


I Frame 278: 74 bytas on wie (S92 Pits), 74 bytss captured (5092 .bus) 
= Etheret H, Se: ASUstekC cc1:53:0b (ed:ch:4e:c1:53:0b), Dst: Vwore_ 43:5e:be (00:0c:29:435e:be)} 
= Destnator: VMmMWwore_43:5e:be (00:0c:29:43:5e:be 


Address: Vmware 43:5e:be (00:0c;29:43:5e;be) 这 是 月 的 MAC 地 化 = 
,0 ss es oe 1 = TG bit: Individual address (unicast) 和 
0, ,0 = LG bt: Giobally umique oddress (foctory defeutt) 污 从 高 
ESD: KE CY ER Ob (ed:cbh:4erci:53:0b) 
Address: AsustekC C1:53:0b (e0:cb:4e:c1:53:0b) 这 是 削 MAG 地 直 ， 
bit: Individual oddress (Unicast) 出 .24 位 会 自动 转 挠 为 
0. = LG bit: Globally unique nddress (fectory default) 竣 车 莫名 


贡 更 


| 5 ntemert Control Messsge Protocol 


图 2.1.4 用 Wireshark 分 析 以 太 网 帧 的 画面 


掉 了 ， 分 析 画面 中 仅 显示 除 它们 之 外 的 那些 信息 ( 帧 头 和 数据 ) 。 
看 前 24 位 就 能 知道 网 卡 的 运营 商 


※ 用 Wireshark 进行 分 析 时 无 法 显示 出 前 导 码 和 FCS， 这 是 因为 它们 在 Wireshark 接收 信息 之 前 就 已 经 被 扼 


MAC 地 址 是 由 48 位 构成 的 独一无二 的 识别 信息 ， 在 以 太 网 中 扮演 着 数据 链 路 
起 点 和 终点 的 角色 。 它 的 具体 写法 如 E0-CB-4E-C1-53-CB、00:0c:29:43:5e:be， 


每 8 位 就 用 一 个 连 字 符 或 冒号 隅 开 ， 用 十 六 进 制 表 示 。 


MAC 地 址 的 前 24 位 和 后 24 位 有 着 不 同 的 含义 。 前 24 位 是 由 IEEE 管理 的 独 一 
无 二 的 运营 商 编码 ， 叫 作 OUI (Organizationally Unique Identifier， 组 织 唯一 标 
识 符 ) 。 看 这 部 分 我 们 就 能 知道 通信 节点 的 网 卡 是 哪 家 运营 商 提 供 的 。 顺 便 提 


一 句 ， 下 面 的 网 页 中 有 OUI 的 公开 信息 ， 排 除 故 障 时 不 妨 参考 一 下 。 


URL http://standards.ieee.org/develop/regauth/oui/oui.txt (截至 2014 年 工 月 
的 信息 ) 


另外 ， 预 先 在 Wireshark 的 Capture Options 一 Name Resolution 中 勾 选 Enable 
MAC name resolution 选项 ，MAC 地 址 的 运营 商 编码 就 能 自动 转换 成 运营 商 名 。 
这 个 功能 意 想不到 地 方便 ， 笔 者 经 常 使 用 。 


| Capture 


Interface: |Local 图 Realtek PCte GBE Family Controller: YDeviceeNPF_《F4EA23A4-|] 
| 

| ip address: 192.168.1.20 

| Unk-layer header type; Ethernet 加 Wiraless Sattings 


Re 


Ring be Wi 
Name Resolution 


Stop copture sfter ~ fafs ” ， 将 NIAC 地 址 的 运营 
5 间 编 友 自 忽 为 


堆 请 名 
加 …afer MI Enable network name resolution 


图 2.1.5 Wireshark 可 将 运营 商 编码 目 动 转换 成 运营 商 名 
后 24 位 是 运营 商 内 部 管理 的 独一无二 的 编码 。 由 IEEE 管理 的 独一无二 的 前 24 


位 和 由 运营 商 管理 的 独一无二 的 后 24 位 ， 这 两 个 要 素 使 MAC 地 址 成 为 了 世界 
上 独一无二 的 地 址 。 


加 四 加 
: 
: 


48 位 构成 


{ 
上 
i 


rr 


上 


前 24 位 和 后 24 位 代表 着 
不 同 的 含义 


由 1EEE 管理 四 运 繁 商 管 理 


图 2.1.6 MAC 地 址 中 的 每 段 24 位 都 代表 着 不 同 的 意思 
特殊 的 MAC 地 址 


以 太 网 中 的 所 有 通信 都 是 一 对 一 的 形式 吗 ? 并 不 一 定 。 一 般 情况 是 这 样 的 : 所 
有 节点 共享 一 根 线 绕 (传输 媒介 ) ， 同 时 生成 大 量 的 逻辑 传输 路 径 (数据 链 
路 ) 与 众多 的 对 象 互通 信息 。 以 太 网 按 通 信 方 式 划分 为 单 播 、 广 播 和 多 播 三 种 
帧 类 型 ， 比 较 常 用 的 是 单 播 和 广播 。 


。 单 播 


单 播 是 一 对 一 的 通信 ， 这 应 该 很 容易 理解 吧 。MAC 地 址 基本 上 都 是 独 一 无 
二 的， 因此 对 应 茶 个 万 点 可 以 只 生成 一 条 数据 链 路 ， 源 MAC 地 址 和 目的 
MAC 地 址 指 的 就 是 这 两 个 节点 的 MAC 地 址 。 在 现代 以 太 网 的 环境 中 这 种 
通信 所 占 的 比例 很 大 ， 电 子 邮件 和 互联 网 的 通信 就 属于 这 种 通信 类 型 。 


节点 CG 的 MAC 地 址 


节点 及 类 送 音 括 信 皇 节点 和 的 MAC 地 址 


60-C5-47-40-3F.6C 0D0-1A.62.03-A2-7D 


在 会 向 元 革 的 节点 
发 送信 总 


ce , 


EQ-CB-4E:C1-53-0B | 60:C5-47-40-3F-6C 


一 对 一 发 送信 息 


节点 恕 的 MAC 地 址 节点 口 的 MAC 地 直 让 信和 


图 2.1.7 单 播 是 一 对 一 的 通信 
。 广 播 


广播 是 一 对 多 的 通信 ， 这 里 所 说 的 “多 ”是 指 同一 个 网 络 中 的 所 有 节点 。 如 

果 某 个 节点 发 送 了 广播 信息 ， 那 么 所 有 的 节点 都 会 收 到 该 信息 。 广 播 能 够 

波及 的 范围 叫 作 广播 域 。 广 播 的 源 MAC 地 址 就 是 发 送 节 点 的 MAC 地 址 ， 

目的 MAC 地 址 则 比较 特殊 ， 稍 徽 有 点 不 同 ， 写 出 来 是 FF-FF-FF-FF-FF-FF 
的 形式 ， 用 位 表示 的 话 全 部 都 是 1。 


举 一 个 比较 典型 的 广播 通信 的 例子 ， 那 就 是 ARP (Address Resolution 
Protocol， 地 址 解析 协议 ) 。 我 们 来 看 下 ARP 大 致 的 工作 原理 。 假 设 节 点 A 
要 对 节点 B 进行 单 播 ， 可 是 万 点 A 并 不 知道 节点 B 的 MAC 地 址 ， 为 了 弄 
清 这 个 地 址 节点 A 就 要 用 到 广播 ， 通 过 广播 向 所 有 世 点 发 问 “ 请 告诉 我 节点 


B 的 MAC 地 址 是 多 少 ”， 弄 清 了 之 后 再 和 节点 B 进行 单 播 通 信 。 关 于 ARP 
的 内 容 将 在 2.1.3 节 中 详细 说 明 。 


EE 
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的 .EC5-47-40-3SF-6C (0-1A62-03-A2-7D 
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侵 扩 有 的 节 版 Ce 
人 信和 台 旭 持 其 至 弃 


引 吉 8B. 的 MAC 地 起 节点 口 的 MAC 籽 才 


EO-.CB-4E.C1-53-03 00.0C-29.43.5E-9E je 


图 2.1.8 广播 是 针对 所 有 节点 一 气 呵 成 地 发 送信 息 
多 播 


多 播 是 一 对 多 的 通信 ， 看 起 来 似乎 和 广播 差不多 ， 但 这 里 的 “多 ” 指 的 是 特 
定 小 组 〈 多 播 组 ) 中 的 节点 。 如 果 某 个 节点 发 送 了 多 播 信息 ， 那 么 这 个 小 
组 中 的 所 有 节点 都 会 收 到 该 信息 息 。 多 播 的 源 MAC 地 址 就 是 发 送 节点 的 
MAC 地 址 ,日 的 MAC 地 址 则 比较 特殊 ， 稍 微 有 点 不 同 。 多 播 MAC 地 址 
前 面 第 8 位 的 WG (Individual/Group) 位 是 1。 用 于 广播 的 MAC 地 址 (FF 
FF-FF-FF-FF-FF) 也 算 作 多 播 MAC 地 址 的 一 部 分 。 如 果 要 对 应 多 播 IPv4 
地 址 ， 那 么 前 25 位 是 “0000 0001 0000 0000 1001 1110 0”。 如 果 换 算 成 十 六 
进 制 ， 那 么 就 是 在 “01-00-5E” 后 面 的 一 位 加 个 “0”。“01-00-5E” 是 管理 互联 网 
上 全 球 IP 地 址 的 ICANN 所 拥有 的 运营 商 编码 。 后 23 J IP 地 址 

。 0.0.0 一 239.255.255.255) 从 后 往 前 数 的 23 位 复制 了 一 下 。 多 播 用 于 

频 发 布 和 证 券 交 易 所 的 应 用 程序 。 使 用 广播 和 时， 所 有 节点 ee 

地 收 到 信守 息 。 相 比 之 下 ， 使 用 多 播 时 只 有 启动 了 该 应 用 程序 的 节点 才 会 收 
到 信息 ， 信 息 流动 量 的 效率 更 高 。 


节点 A 的 MAC 地 址 ; | 节点 C 的 MAC 地 址 
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节 底 BB 的 MAC 籽 址 
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图 2.1.9 多 播 是 针对 特定 的 组 对 象 发 送信 息 


ll | ll | a 


图 2.1.10 ”IPv4 多 播 的 MAC 地 址 是 在 IP 地 址 的 基础 上 生成 的 
2.1.2 ”数据 链 路 层 的 关键 在 于 L2 交换 机 的 运作 
在 数据 链 路 层 运行 的 设备 种 类 繁多 ， 不 过 我 们 只 要 掌握 了 工 2 交换 机 ， 基 本 上 就 
能 应 对 所 有 的 网 络 环境 了 。“ 交 换 机 ”在 网 络 设 备 的 世界 里 是 个 常用 术语 ，oo 交 
换 机 的 oo 部 分 代表 OSI 参考 模型 的 层 ， 表 示 它 们 是 根据 哪 一 层 的 信息 去 切换 转 
发 地 址 的 。 转 发 地 址 的 切换 叫 作 “交换 *"，L2 交换 机 根据 数据 链 路 层 (L2) 的 信 
息 ， 也 就 是 MAC 地 址 的 信息 对 帧 进行 上 2 交换 。 
表 2.1.2 有 各 种 各 样 的 交换 


层 交换 机 根据 什么 进行 交换 


JW 刘 层 L7 交换 机 〈 负 载 均 衡器 ) 应 用 程 衣 


ee 


i 层 L4 交换 机 (负载 均衡 器 ) TCP/UDP 连接 


EE 


-二 L2 交换 机 MAC 地 址 


2.1.2.1 交换 MAC 地 址 

接 下 来 ， 我 们 来 看 看 L2 交换 机 是 如 何 进 行 L2 交换 的 。 

L2 交换 机 是 根据 内 存 中 的 MAC 地 址 表 对 帧 进行 交换 的 。MAC 地 址 表 由 端口 和 
源 MAC 地 址 的 信息 构成 ， 看 地 址 表 束 能 知道 哪个 节点 连接 着 哪个 端口 。L2 交 
换 机 主要 有 三 项 职责 一 一 登记 收 到 的 帧 的 端 ye 将 来 路 不 明 的 
MAC 地 址 进行 泛 洪 处 理 、 删 除 不 再 需要 的 信息 。 
利用 MAC 地 址 表 进 行 交 换 


和 市 点 B 是 双 疝 通信 的 ?， 我 们 来 看 看 MAC 地 址 表 在 这 里 是 如 何 派 


I 个 前 提 ， 那 就 是 节点 A 已 知 节点 B 的 MAC 地址 。 在 实际 情况 中 节点 A 一 般 并 不 知道 
点 B 的 MAC 地 址 ， 所 以 节点 A 要 先 通 过 ARP 播 确 定 节点 B 的 MAC 地 址 之 后 才能 开始 通信 。 


下 


1 一 ”节点 A 将 数据 包 封 装 成 帧 并 传递 给 线 线 ， 目的 是 发 给 节点 B。 这 部 分 还 
只 是 在 进行 单 播发 送 ， 源 MAC 地 址 是 节点 A 的 MAC 地 址 ， 目 的 MAC 地 址 是 
节点 B 的 MAC 地 址 。 


图 2.1.11 节点 A 向 节点 B 发 送 单 播 帧 


2 -~ ”交换 机 收 到 帧 后 ， 将 节点 A 的 端口 号 和 源 MAC 地 址 作为 新 的 条 目 添加 
到 MAC 地址 表 中 去 。MAC 地 址 表 一 开始 是 空 的， 从 空 表 的 状态 开始 学 习 帧 并 
不 断 添加 新 的 数据 。 


| 目的 i 源 数据 
| 


图 2.1.12 将 节点 A 登记 到 MAC 地 址 表 中 去 


3 ”由 于 交换 机 并 不 知道 节点 B 的 MAC 地 址 是 多 少 ， 所 以 会 将 帧 复制 并 发 

送 给 不 与 节点 A 相连 接 的 所 有 端口 。 这 种 把 帧 同时 发 送 给 多 个 端口 的 现象 叫 作 
泛 洪 ， 是 一 种 “我 不 知道 是 哪个 MAC 地 址 ， 所 以 干脆 发 给 所 有 对 象 再 说 ! ”的 应 
对 方法 。 顺 便 提 一 句 ， 广 播 的 MAC 地 址 FF-FF-FF-FF-FF-FF 不 会 成 为 源 MAC 
地 址 ， 因 而 不 会 被 写 入 MAC 地 址 表 。 也 正 因 如 此 ， 广 播 经 常会 被 泛 洪 。 


1 而 而 
Cw 


不 知道 盟 哪 个 地 址 ,所 以 
症 


[BA 
一 一 一 = 全 
图 2.1.13 通过 泛 洪 处 理 将 信息 发 给 所 有 端口 
4-” 节点 B 收 到 帧 之 后 认定 这 是 发 给 自己 的 帧 ， 为 了 回应 节点 A， 也 会 生成 
一 个 帧 并 传递 给 线 缆 。 这 时 候 ， 源 MAC 地 址 是 节点 B 的 MAC 地 址 ， 目 的 


MAC 地 址 是 市 点 A 的 MAC 地 址 。 市 点 B 之 外 的 市 点 C 和 和 点 D 会 判断 出 这 
是 和 自己 无 关 的 帆 然 后 将 其 丢弃 。 


MAC 地 址 : 和 A 


图 2.1.14 ”真正 有 关系 的 节点 也 


5 ~ 交换 机 收 到 帧 后 ， 会 将 节点 B 的 端口 号 和 MAC 地址 登记 到 MAC 地 址 表 
这 样 ， 节 点 A 和 节点 B 的 MAC 地 址 表 就 建成 了 。 根据 MAC 地 址 表 中 的 

登 l 容 ， 发 给 市 点 A 的 帧 会 被 马上 转发 到 1 号 端口 。MAC 地 址 表 生 成 之 后 ， 
A 和 节点 B 之 间 的 帧 转发 就 不 会 影响 到 其 他 节点 ， 能 够 高 效 快 速 地 进行 


图 2.1.16 其 他 节点 不 会 参与 节点 A 和 节点 B 之 间 的 通信 


6 -~ ”MAC 地 址 表 建 好 之 后 ， 里 面 的 条 目 并 非 是 一 直 保 留 下 去 的 。 一 直 保 留 下 
去 的 话 ， 内 存 再 大 也 会 不 够 用 ， 而 且 节 点 一 旦 转移 到 别处 去 ， 与 之 对 应 的 条 目 


也 就 不 起 作用 了 “。 因 此 ， 与 端口 相连 的 线 缆 被 拔 掉 时 ， 条 目 会 被 删除 ， 超 过 一 
定时 间 未 收 到 帧 时 ， 条 目 也 会 被 删除 。 从 条 目 生成 到 条 目 被 删除 的 时 间 叫 作 老 
化 时 间 ， 思 科 Catalyst 交换 机 的 老化 时 间 默 认 值 为 300 秒 (5 分钟 ) ， 当 然 这 个 
时 间 是 可 以 修改 的 。 


图 2.1.17 将 不 再 需要 的 条 目 删 除 
查看 MAC 地 址 表 
我 们 来 实际 看 看 下 图 中 所 示 的 L2 交换 机 即 Switch1 的 MAC 地 址 表 。 


L2 次 换 宙 (Switch1 ) L2 交换 机 ( Switch2 ) 


图 2.1.18 “方便 确认 MAC 地址 表 的 连接 图 例 


这 里 我 们 使 用 思科 Catalyst 交换 机 来 确认 。Catalyst 交换 机 可 通过 命令 show mac 
address-table 去 查看 MAC 地 址 表 。 


Switchi#show mac sddress-table 
Msc Adadrsss Tshle 


© Mddress 
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"Qccc., STATIC 
-C200.0000 STATIC 


STATIC 


STATIC 
STATIC 

DYNAMIC 

DYNAMIC 

DYNAMIC 

WMEAN 9. DYNAMIC 


Total Mac Addresses for this Crtteriori 25 


图 2.1.19 ”Catalyst 交换 机 中 的 MAC 地 址 表示 例 


Mac Address 指 节 点 的 MAC 地 址 ，Ports 指 连 接 的 端口 号 。 其 他 几 个 要 素 也 在 这 
里 解释 一 下 : Vlan 将 在 下 一 个 小 节 里 详细 说 明 ， 广 播 和 泛 洪 只 会 针对 同一 
VLAN 发 送信 息 ; Type 指 MAC 地 址 的 类 型 ， 通 过 帧 动态 学 到 的 内 容 为 
DYNAMIC 型 ， 超过 老化 时 间 条 条 目 就 会 被 删除 ，STATIC 表示 是 本 机 静态 设置 的 
或 是 系统 上 已 占用 的 MAC 地 址 ， 不 会 被 自动 删除 。 


2.1.2.2 ”通过 VLAN 将 广播 域 分 隔 开 


广播 能 够 波及 的 范围 叫 作 广播 域 。 用 来 搜索 单 播发 送 目的 节点 的 APR 是 通过 广 
播发 送 的 ， 我 们 不 妨 认为 广播 域 就 是 能 够 直接 收发 帧 的 范围 。 广 播 针 对 所 有 市 
点 一 气 呵 成 地 发 送信 息 ， 似 乎 挺 方便 ， 然 而 帧 会 被 发 送 到 不 相干 的 节点 那里 ， 
从 通信 流量 的 角度 玉 看 效率 并 不 高 这 时 候 我 们 就 要 用 到 VLAN (Virtual 
LAN， 虚 拟 局 域 网 ) ， 它 是 交换 机 所 拥有 的 一 项 功能 ， 能 够 将 广播 域 分 隔 开 ， 
有 利于 提高 通信 效率 。 


有 些 人 会 把 VLAN 叫 作 网 段 、 网 络 或 LAN (Local Area Network， 局 域 网 ) ， 称 
a 但 意思 是 完全 一 样 的 ， 我 们 不 必 太 在 意 ， 知 道 他 们 指 的 是 VLAN 就 可 
以 了 。 


CITTEETIEEEETETE 


VLANI 性 交换机 


不 相 王 的 节点 贞 会 收 到 信条 ， 
> 发现 不 要 如 后 会 光 其 于 弃 
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图 2.1.20 在 同一 个 VLAN 中 ， 所 有 节点 都 会 收 到 广播 信息 


图 2.1.21 通过 VLAN 将 广播 域 分 隔 开 

VLAN 由 数字 构成 

VLAN 能 将 广播 域 分 隔 开 ， 这 听 起 来 似乎 挺 复杂 ， 不 过 VLAN 的 本 质 其 实 就 是 
代表 VLAN ID 的 一 些 数字 ， 其 原理 只 是 将 VLAN ID 的 数字 分 配给 各 个 端口 ， 

由 此 去 识别 端口 而 已 。Catalyst 交换 机 最 多 可 以 支持 4096 个 VLAN ID， 其 中 有 


几 个 已 被 系统 保留 用 于 特殊 的 目的 。 机 型 和 OS 版 本 不 同 ， 实 际 上 能 够 使 用 的 
VLAN ID 范 范围 和 个 数 也 就 不 同 ，; 这 点 大 家 一 定 要 仔细 确认 。 


表 2.1.3 有 些 VLAN ID 已 被 系统 占用 ， 不 能 使 用 


VLAN ID 


1002~1005 FDDI, 令 牌 环 网 的 默认 VLAN 


1006~1024 


1025~4094 ji 上 


4095 系统 已 占用 的 VLAN 


那么 ， 我 们 应 该 如 何 设置 VLAN 呢 ? 这 个 也 并 不 复杂 。VLAN 只 有 两 种 设置 方 
法 ， 不 是 端口 VLAN 就 是 打 标 VLAN。 下 面 就 详细 说 明 这 两 种 设置 方法 。 


端口 VLAN 设置 是 让 端口 和 VLAN 一 一 对 应 


正如 其 名 ， 端 口 VLAN 是 将 VLAN 分 配给 端口 的 设置 方法 ， 有 静态 设置 (静态 
VLAN) 和 动态 设置 (动态 VLAN， 根 据 基本 规则 的 要 求 动态 地 进行 设置 ) 之 
分 ， 以 使 用 前 者 的 环境 居多 。 动 态 VLAN 一 般 仅 用 于 CCNA、CCNP 等 思科 公 
司 的 测试 中 ， 本 书 只 讲解 静态 VLAN 。 


静态 VLAN 会 将 VLAN ID 分 配给 端口 。 将 VLAN ID 分 配给 各 个 端口 ， 就 完成 
了 对 一 台 交 机 的 逻辑 划分 ， 也 就 完成 了 对 广播 域 的 划分 。 举 个 例子 ,将 VLAN1 
和 VLAN2 分 配给 端口 之 后 ，VLANI1 所 属 终 端的 广播 域 和 VLAN2 所 属 终端 的 
广播 域 就 不 一 样 了 ，VLAN? 不 会 收 到 VLANI1 发 出 的 广播 ， 也 不 会 收 到 ARP， 
二 者 之 间 无 法 进行 直接 通信 。 如 果 要 让 VLAN1 和 VLAN2 之 间 产 生 通 信 ， 必 须 
通过 L3 交换 机 或 路 由 属 等 L3 设备 进行 中 转 才 行 。 设 置 端口 VLAN 时 也 可 以 跨 
交换 机 进行 ， 但 必须 注意 一 点 ， 那 就 是 有 和 多少 VLAN 就 得 准备 多 少 端口 和 线 缆 
去 连接 交换 机 。 


基于 端 吾 设 置 。 


图 2.1.22 基于 端口 设置 VLAN 


打 标 VLAN 


正如 其 名 ， 打 标 VLAN 是 给 VLAN 打上 标签 的 设置 方法 。 打 上 标签 ? 乍 一 听 你 
也 许 会 觉得 丈 二 和 尚 摸 不 着 头脑 ， 但 实际 上 它 只 是 给 帧 打上 一 个 包含 VLAN 信 
息 的 标签 而 已 。 有 两 种 打 标 方法 ， 一 种 是 能 够 传输 非 以 太 网 帧 的 ISL 方式 ， 另 

一 种 是 只 能 传输 以 太 网 帧 的 下 EE802.1Q 方式 。 现 在 的 网 络 环境 大 多 是 以 太 网 ， 

因此 打 标 VLAN 大 多 采用 IEEE802.1Q 方式 ， _IEEE802.1Q 也 是 IEEE 委员 会 制 

定 的 打 标 VLAN 的 标准 规格 ， 而 ISL 我 们 只 能 在 CCNA、CCNP 等 思科 公司 的 
测试 中 见 到 。 本 书 只 讲解 I[EEE802.1Q。 


(到 术 网 财 。 
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图 2.1.23 通过 IEEE802.1Q 为 VLAN 打 标 


端口 VLAN 必须 是 一 个 端口 对 一 个 VLAN， 所 以 如 果 要 中 


成 同一 VLAN 内 节点 之 间 的 通信 ， 那 么 有 和 多少 VLAN 


绕 。 但 是 ， 这 种 情况 在 可 扩展 性 上 会 发 生 问题 假设 有 1000 个 VLAN,， 


就 要 准备 多 少 端 


3 交换 机 进行 设置 以 促 


口 和 线 
那么 我 


们 就 得 准备 1000 根 线 缆 和 1000 个 端口 ， 无 论 是 布线 还 是 设置 都 极其 耗 时 费 


力 ， 端 口 再 多 也 会 有 不 够 的 时 候 。 


这 时 候 我 们 就 要 用 到 打 标 VLAN。 交换机 端口 发 送信 息 时 给 帧 打上 一 个 含有 


VLAN 信息 (VLAN ID) 的 VLAN 标签 ， 目的 端 山口 收 到 帧 时 先 卸 挥 标签 ， 然 


二 


再 交 给 需要 该 信息 的 节点 。 通 过 打 标 VLAN 能 够 识别 收 到 了 哪个 VLAN 的 帧 ， 


所 以 只 需 一 根 丝 作 和 一 个 端口 即 可 ， 在 续 也 十 分 简单 “使 用 打 标 VLAN 时 ， 相 


连 的 两 台 设备 必须 能 够 识别 出 同样 的 信息 才 行 ， 因 此 两 边 设置 的 VLAN ID 务必 


要 统一 。 


最 近 ， 打 标 VLAN 不 止 用 于 交换 机 之 则 的 连接 ， 也 越 来 越 多 地 用 在 
中 。 在 虚拟 环境 中 ， 隶 属 于 各 各 VLAN 的 虚拟 机 共存 于 一 个 


SS 


(VMware 环境 


虚拟 环境 


物理 服务 器 中 ， 通 过 虚拟 交换 机 出 现在 网 络 上 。 连 接 L2 交换 机 时 ， 针 对 需要 连 
接 的 端口 ， 我 们 必须 要 设置 该 虚拟 机 所 属 的 所 有 VLAN， 这 时 候 就 要 用 到 


IEEE802.1Q 了 。 


在 虚拟 环境 中 ， 虚 拟 机 隶属 于 一 个 叫 作 端口 组 的 虚拟 交换 机 端口 设置 


日， 通过 


vSwitch (虚拟 交换 机 ) 连 到 网 络 上 。 假 设 虚 拟 机 分 别 隶 属于 叫 作 VLAN10 和 
VLAN20 的 端口 组 ， 那 么 映射 到 vSwitch 上 的 vmnic (物理 网 卡 ) 就 隶属 于 


VLAN10 和 VLAN20。vSwitch 给 VLAN10 和 VLAN20 打 


上 标签 ， 将 与 vmnic 


连接 的 交换 机 端口 划分 到 打 标 YLAN。 用 vSwitch 进行 的 标签 处 理 叫 作 VST 


(Virtual Switch Tagging， 虚 拟 交换 机 标记 ) 。 


另外 ， 对 思科 Catalyst 交换 机 而 言 ， 打 标 VLAN 一 般 会 称 为 trunk， 而 对 其 他 生 
产 商 生产 的 机 器 而 言 ，trunk 则 指 的 却 是 链 路 聚合 功能 以 及 由 该 功能 衍生 出 来 的 
逻辑 端口 。 二 者 很 容易 混淆 ， 请 大 家 务必 区 分 清楚 。 关 于 链 路 聚合 的 内 容 将 在 


4.1.1.1 方 中 详 细 说 明 。 
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图 2.1.25 使 用 打 标 VLAN 时 ， 只 需 一 根 线 缆 和 一 个 端口 即 可 


VvSwiteh 
[ 坎 搜 交换 机 ] 


不 辣 的 汐 癸 馈 


图 2.1.26 虚拟 环境 中 也 经 常会 用 到 打 标 VLAN 
※ 实际 上 12 交换 机 中 也 有 对 VLAN 标签 的 处 理 ， 图 中 省 略 未 画 。 


使 用 打 标 VLAN 时 应 统一 本 征 VLAN 


我 们 在 设置 打 标 VLAN 时 要 注意 本 征 VLAN 的 存在 。 设 有 IEEE802.1Q 的 端口 
并 非 对 所 有 的 VLAN 都 会 打 标 ， 有 一 个 VLAN 是 除外 的 ， 那 就 是 本 征 VLAN 。 


这 里 的 关键 在 于 要 保持 相 邻 设备 的 本 征 VLAN 一 致 。 也 许 你 会 想 ， 如 果 是 不 打 
标的 VLAN 就 可 以 不 用 在 意 嘛 ， 然而 实际 情况 却 并 非 如 此 。 假设 一 
VLAN 是 VLAN1 而 另 一 边 的 本 征 VLAN 是 VLAN3， 那 么 它们 会 分 别 映射 不 同 
的 广播 域 ， 二 者 之 间 就 无 法 进行 通信 了 “。 所 以 我 们 不 仅 要 保持 两 边 VLAN ID 
一 致 ， 还 要 保持 两 边 的 本 征 VLAN 也 一 致 才 行 。 


Catalyst 交换 机 的 默认 本 征 VLAN 是 VLAN1， 当 然 我 们 也 可 以 修改 这 一 默认 设 
置 。 另 外 ， 只 有 在 使 用 CDP (Cisco Discovery Protocol， 思 科 发 现 协 议 ) 的 前 提 
下 ， 才 能 自动 检测 出 两 边 设备 的 本 征 VLAN 不 一 致 并 发 出 警告 信息 “9%CDP-4- 
NATIVE_VLAN_MISMATCH”。 关 于 CDP 的 内 容 将 在 5.1.4.1 节 中 说 明 。 


本 征 VLAN 在 虚拟 环境 中 的 原理 也 一 样 。 如 果 我 们 在 端口 组 的 VLAN ID 中 选 
择 “ 无 (0) ”， 那 么 隶属 于 该 端口 组 的 虚拟 机 的 帧 就 不 会 被 打 标 。 不 被 打 标 也 就 
等 同 于 本 征 VLAN 。 而 如 果 在 这 里 设置 VLAN ID， 那 么 vSwitch 就 会 给 该 
VLAN ID 打 标 。 
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图 2.1.27 有 一 个 VLAN 不 会 被 打 标 
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图 2.1.28 ”两 边 的 本 征 VLAN 如 果 不 一 致 就 无 法 正常 通信 (以 ARP 为 例 ) 


NO Ny 


vSwitch 
(一 微 交 效 机 ) 


图 2.1.29 ”在 虚拟 环境 中 也 要 注意 本 征 VLAN 


2.1.3 ARP 将 逻辑 和 物理 关联 到 一 起 


在 网 络 的 世界 里 只 有 两 个 概念 是 表示 地 址 的 ， 一 个 是 前 面 一 直 在 讲 的 MAC 地 
址 ， 另 一 个 则 是 IP 地 址 。MAC 地 址 是 硬件 被 赋予 的 物理 地 址 ， 在 数据 链 路 层 

(L2) 中 发 挥 作用 。IP 地址 则 是 由 OS 设置 的 逻辑 地 址 ， 在 网 络 层 (L3) 中 发 
挥 作 用 。 这 两 个 地 址 如 果 步 调 不 一 致 就 会 乱 套 ， 务 必 让 它们 彼此 协调 配合 才 
行 。ARP (Address Resolution Protocol， 地 址 解析 协议 ) 就 是 能 让 这 两 个 地 址 保 
持 协 调 的 存在 ， 它 在 物理 和 逻 辑 之 间 起 着 桥梁 的 作用 。 


逻辑 地 址 


图 2.1.30 ARP 是 物理 和 逻辑 之 间 的 桥梁 
2.1.3.1 ARP 通过 IP 地 址 查询 MAC 地 址 


ARP 是 物理 和 逻辑 之 间 的 桥梁 ， 这 听 起 来 似乎 非常 高 深 ， 不 过 它 实际 上 只 是 将 
PP 地 址 和 MAC 地 址 关联 起 来 而 已 ， 并 没有 进行 什么 复杂 的 处 理 。 


我 们 知道 ， 收 到 来 自 网 络 层 的 卫 数据 包 之 后 ， 节 点 
线 缆 。 然 而 ， 刚 刚 收 到 IP 数据 包 时 节点 并 不 清楚 该 如 何 对 它 进行 在 因为 节 
en 不 MAC 地 址 就 是 本 机 的 MAC 地 址 ， 却 不 知道 目的 MAC C 拖 址 息 什 
。 这 时 候 就 要 用 到 ARP 了 。ARP 先 去 查看 IP 数据 包 的 目的 卫 地 址 ， 如 果 是 
和 网 段 的 节点 ，ARP 就 去 查询 该 IP 地 址 的 MAC 地 址 ; 如 果 是 不 同 网 段 的 节 
点 ，ARP 就 去 查 询 默认 网 关 的 MAC 地 址 。 默 认 网 关 相 当 于 一 个 通 往 非 本 地 网 
段 的 出 口 ， 如 果 数 据 包 是 发 给 非 本 地 的 其 他 网 段 而 且 并 不 请 楚 目 的 卫 地址 ， 那 
么 它 就 会 被 发 给 默认 网 关 。 这 里 说 的 “网 段 " 指 的 是 IP 地 址 的 所 属 范 围 ， 会 在 
2.1.1.2 市 中 男 外 详细 说 明 。 在 日 前 这 个 阶段 ， 我 们 可 以 认为 广播 域 和 VLAN 是 


一 | 人 站 
同 | 意思 


这 里 请 记 住 一 点 :ARP 是 通过 IP 地 址 去 查询 MAC 地 址 的 。 


通过 ARP 将 两 个 目的 地 址 
关联 起 来 


目的 


MAG 地 址 


46 ~ 1500 字 节 


图 2.1.31 ARP 将 两 个 地 址 关联 到 一 起 
ARP 的 原理 很 简单 


ARP 的 原理 很 简单 ， 非 常 容易 理解 。 请 想象 一 下 这 个 场景 : 你 大 声 地 (广播 ) 
问 大 家 “ 茶 某 某 是 哪 位 啊 ? ”， 于 是 某 某 茶 回答 “我 就 是 某 某 某 啊 ! ”。 


这 个 “ 某 某 某 是 哪 位 啊 ? ”的 提问 叫 作 ARP Request (ARP 请 求 ) 。“ 某 某 某 ”的 部 
分 就 是 从 网 络 层 发 来 的 数据 包 中 目的 地 的 IP 地址 。ARP 请 求 通 过 广播 散发 出 
去 ， 同 一 VLAN 中 的 所 有 节点 都 会 收 到 该 请 求 。 


图 2.1.33 ”只 有 真正 相关 的 节点 给 出 回应 


针对 ARP 请 求 返回 的 这 个 “我 就 是 某 某 某 啊 ! ”的 回应 叫 作 ARP Reply (ARP 回 
复 ) 。 在 同一 VLAN (广播 域 ) 的 所 有 节点 中 ， 只 有 一 个 真正 拥有 对 象 IP 地 址 
的 节点 会 做 出 回应 。 其 他 的 节点 因为 与 己 无 关 ， 会 将 收 到 的 信息 丢弃 。ARP 回 
复 不 需要 使 用 广播 ， 它 通过 单 播 将 信息 发 给 发 送 ARP 请 求 包 的 节点 。 


L2 交换 机 


节点 BB 


我 就 是 加 啊 


通过 单 播发 送信 息 


图 2.1.34 通过 广播 和 单 播 查 出 对 方 节点 的 MAC 地 址 
以 太 网 的 数据 部 分 中 包含 着 诸多 的 地 址 信息 
ARP 在 以 太 网 的 数据 部 分 写 入 了 很 多 地 址 信息 ， 并 以 此 将 MAC 地 址 和 IP 地 址 


关联 起 来 。 由 于 操作 (Operation) 和 地 址 之 外 的 数据 都 是 国定 不 变 的 ， 因 此 本 
书 只 介绍 操作 和 地 址 这 两 项 内 容 。 


ee 


发 送 ARP 要求 时 ， 轩 为 建 广 播 而 将 
元 处 设 为 FF-FF-FF-FF-FF-FF 


图 2.1.35 ARP 在 数据 部 分 写 入 了 很 多 信息 


ARP 请 求 的 操作 代号 是 1。 请 求 时 ， 节 点 将 源 MAC 地 址 和 源 IP 地 址 设置 为 本 
机 地 址 ， 将 目的 MAC 地 址 设置 为 00-00-00-00-00-00 (因为 尚 不 清楚 区 实 际 地 址 是 
什么 ) ， 将 目的 也 地 址 设 为 欲 查询 其 MAC 地 址 的 节点 的 IP 地址。ARP 请 求 采 
用 广 播 的 形式 ， 收 到 广 播 的 所 有 节 节点 都 会 去 查看 目的 卫 地址， 但 是 只 有 真正 拥 
有 该 IP 地 址 的 下 点 才 会 给 出 ARP 回复 ， 拥有 其 他 IP 地 址 的 节点 则 会 将 收 到 的 


言 筷 


ARP 回复 的 操作 代号 是 2。 回复 时 ， 节 点 将 源 MAC 地 址 和 源 IP 地 址 设置 为 本 
机 地 址 ， 将 目的 MAC 地 址 和 目的 卫 地 址 分 别 设置 为 发 送 了 ARP 请 求 的 节点 的 
MAC 地 址 和 IP 地 址 。ARP 回复 采用 单 播 的 形式 ， 癌 发 来 ARP 请 求 的 节点 返回 
信息 。 收 到 ARP 回复 的 节点 查看 源 MAC 地 址 和 源 IP 地 址 的 部 分 后 ， 就 能 知道 
对 方 的 MAC 地 址 是 多 少 ， 而 知道 MAC 地 址 之 后 就 可 以 开始 通信 了 。 将 MAC 
地 址 和 卫 地址 关联 起 来 的 表 叫 作 ARP 表 。 


We 


| RP 询 地 二 
EE te 
引 Ip | MAC | MAC | 代号 旺 在 召 噶 襄 已 


| 6 |ooooo 
: 000000 


“、 


着 过 查看 源 MAC 部分 
知道 节 志 B 的 MAC 


图 2.1.36 ”数据 部 分 将 MAC 地 址 和 IP 地址 关联 到 一 起 
通过 高 速 缓存 控制 通信 流量 


读 到 这 里 ， 想 必 各 位 已 经 能 够 了 解 ARP 在 通信 中 的 重要 作用 了 。 对 于 通信 来 
说 ，ARP 是 基础 中 的 基础 。 正 古 因为 通过 ARP 查询 出 发 送 目的 地 的 MAC 地 
址 ， 通 信 才 得 以 成 立 。 


然而 ARP 有 着 致命 的 弱点 ， 那 就 是 “以 广播 发 送 为 前 提 条 件 ”。 由 于 一 开始 发 送 
方 并 不 知道 对 方 节 点 的 MAC 地 址 ， 使 用 广播 也 算是 一 种 必然 的 选择 。 然 而 广播 
会 癌 同 一 网 段 中 的 所 有 节点 都 发 送 数据 ， 是 一 种 效率 很 低 的 通信 。 假 设 VLAN 
中 有 1000 台 节 点 机 ， 那 么 通信 就 会 流向 这 1000 台 机 器 ， 假 如 每 台 节 点 机 通信 
时 都 发 送 ARP， 那 么 仅 ARP 通信 流量 就 会 充 不 于 整个 VLAN。 原 本 MAC 地 址 
和 IP 地 址 就 不 会 频繁 发 生变 化 ， 于 是 人 们 为 ARP 开发 出 了 可 和 暂时 存储 条 目的 高 


ARP 查询 到 对 方 节点 的 MAC 地 址 后 ， 会 在 ARP 表 中 添加 新 的 条 目 并 将 其 暂时 
保存 。 在 暂时 保存 期 内 ARP 不 会 发 送信 息 ， 超 过 一 定时 间 (时 限 ) 之 后 则 会 删 
掉 该 条 目 并 发 送 ARP 请 求 。 时 限 因 OS 而 异 ，Windows 7 是 10 分 钟 ， 思 科 公 司 
的 设备 则 为 4 个 小 时 ， 当 然 ， 这 些 默认 时 限 都 是 可 以 修改 的 。 


。 ARP 将 信息 发 给 所 有 节点 ， 但 只 能 收 到 其 中 一 台 节 点 机 的 回应 ， 效 


目的 | 目的 源 操作 
回国 于 况 加 


tt 


图 2.1.38 ”通过 高 速 缓存 功能 提高 效率 
更 换 设备 时 要 注意 ARP 高 速 缓存 


高 速 缓存 功能 在 减少 ARP 的 通信 流量 上 发 挥 着 巨大 的 作用 ， 但 它 并 非 是 完美 无 
缺 的 。 有 了 这 项 功能 ， 实 时 性 就 会 差强人意 ， 这 是 拥有 高 速 缓存 功能 的 所 有 协 

议 相 通 的 一 个 致命 弱点 。 当 IP 地 址 或 MAC 地 址 发 生变 化 时 ，ARP 表 依 然 保 留 
着 旧 的 信息 ， 因 此 只 有 等 保留 的 条 目 超过 时 限 后 ，ARP 再 重新 学 习 一 遍 新 地 址 
才能 重新 开始 通信 


那么 ， 节 点 的 MAC 地 址 或 IP 地 址 会 频繁 发 生变 化 吗 ? 不 会 。 在 大 多 数 情 况 下 
MAC 地 址 和 IP 地 址 都 是 一 直 不 变 的 ， 因 此 ， 一 般 情 况 下 我 们 不 必 在 意 ARP 的 
这 个 弱点 ， 需 要 注意 的 是 更 换 设备 的 时 候 。 例 如 ， 网 络 打印 机 突然 出 故障 而 不 
得 不 换 掉 了 ， 这 时 候 IP 地 址 还 是 不 变 的 ， 但 MAC 地 址 会 变 ， 然 而 打印 机 周边 
的 节点 并 不 知道 MAC 地 址 的 这 个 变化 ， 还 是 会 去 查看 ARP 表 ， 试 图 和 已 经 不 
存在 的 MAC 地 址 通信 ， 直 到 表 中 该 条 目的 时 限 到 来 为 上 (超过 时 限 之 后 才能 重 
新 开始 通信 ) 。 要 想 解 决 这 个 问题 就 得 使 用 GARP， 关 于 GARP 的 内 容 将 在 
2.1.3.3 节 中 详细 说 明 。 


我 就 是 (2 叮 ! 


图 2.1.39 MAC 地 址 一 变 就 无 法 通信 了 
2.1.3.2 ” 抓 取 ARP 包 ， 观 察 它 的 写法 
下 面 两 张 图 是 我 们 抓 取 到 的 ARP 请 求 包 和 ARP 回复 包 的 实例 。 


ARP 请 求 为 广播 发 送 ， 所 以 目的 地 址 为 FF-FF-FF-FF-FF-FF， 此 外 我 们 还 能 看 到 
数据 部 分 写 入 了 很 多 地 址 信息 ; ARP 回复 为 单 播发 送 ， 所 以 目的 地 址 为 发 来 
ARP 请 求 的 节点 的 MAC 地 址 ， 我 们 能 看 到 该 数据 部 分 也 同样 写 入 了 很 多 地 址 


信息 。 


到 ource: Vmware_43:5e:be {00:0c:29:;43;5e:be) 二 


—— 
I 忆 a (request)” 户 不 = 样 
Hardware type: Ethernet (1) ee 
Protocol type: IP (0x0800) 

Hardwore sze: 6 


到 到 
T Souree Rle_703F ie (G0ieS 7 TO 人 A 和 
| Trailer: 000000000000000000000000000000000000 
B Address Resolytion Protocol (reply) 
Hardware type: Ethemet (1) 
Protccol type: IP (0x0800) 
Hordware size: 6 


在 上 与 关 
ee 


图 2.1.41 ARP 回复 是 通过 单 播发 送 的 
2.1.3.3 ”有 几 个 特殊 的 ARP 


ARP 包 是 支撑 TCP/IP 通信 初期 阶段 的 非常 重要 的 帧 ， 这 里 发 生 问 题 就 会 无 法 进 
行 通信 。 为 了 防止 出 现 这 样 的 情况 ， 人 们 设计 了 几 个 特殊 的 ARP 用 来 及 时 更 新 


周边 的 信息 (MAC 地 址 表 和 ARP 表 等 ) ， 它 们 统称 为 GARP (Gratuitous 
ARP， 无 故 ARP) ， 下 面 我 们 就 来 详细 说 明 GARP 。 


OS 通过 GARP 能 在 MAC 地 址 发 生变 化 时 发 出 通告 


GARP 是 一 种 特殊 的 ARP， 它 会 在 数据 部 分 的 源 IP 地 址 和 目的 卫 地 址 中 写 入 
本 机 地 址 。GARP 肩负 着 双重 责任 ， 一 个 是 检查 是 否 存 在 相同 的 卫 地 址 ， 另 一 
个 则 是 更 新 相 邻 设备 的 表 。 


。 检 查 是 否 存 在 相同 的 IP 地 址 


在 公司 或 学 校 的 网 络 环境 中 ， 我 们 可 能 会 不 经 意 就 设置 了 和 别人 一 样 的 IP 
地 址 。 这 时 候 OS 会 弹出 报错 信息 警告 IP 地 址 冲突 ， 提 醒 我 们 去 修改 
IP 地 址 ， 这 个 报错 就 是 基于 GARP 的 信息 局 六 断 昌 来 的 。 IP 地 址 设置 好 之 后 后 
OS 并 不 急于 马上 反映 出 来 ， 而 是 发 出 ARP 请 求 去 检查 周边 是 否 存 在 设 有 
相同 IP 地 址 的 节点 。 2 GARP, OS 就 认为 设 有 相同 IP 地 址 的 节点 
出 报销 信 言 息 ; 如果 没 有 收 到 GARP，OS 才 会 去 反映 前 面 设置 
的 IP 
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图 2.1.42 通过 GARP 检查 是 否 存在 IP 地 址 冲突 
更 新 相 邻 设备 的 表 


这 里 所 说 的 表 指 的 是 ARP 表 和 MAC 地 址 表 ， 二 者 都 是 通过 GARP 获得 更 
新 的 ， 不 过 形式 稍微 有 些 不 同 。 


首先 我 们 来 看 GARP 是 如 何 更 新 ARP 表 的 。 当 设备 因 发 生 故 障 或 EoS 
(End of Support， 终 止 支持 ) 等 原因 需要 更 换 成 新 机 器 的 时 候 ， 旧 的 MAC 

地 址 会 被 新 的 取代 。 然 而 ， 周 边 的 节点 即使 拥有 新 机 器 的 ARP 条 目 也 不 会 

去 自动 更 新 MAC 地 址 ， 而 是 继续 沿用 旧 的 信息 ， 结 果 导 臻 通信 无 法 完成 。 

这 时 候 就 要 用 到 GARP。 新 的 机 器 在 对 接 或 启动 时 会 发 出 GARP 通告 3， 

声明 原来 的 MAC 地 址 已 变 ， 而 收 到 GARP 的 节点 就 会 去 更 新 该 ARP 条 

目 o 


志 交换 机 


图 2.1.43 通过 GARP 更 新 ARP 条 目 
接 下 来 ， 我 们 看 看 GARP 是 如 何 更 新 MAC 地 址 表 的 。 


这 里 以 虚拟 环境 中 的 GARP 为 例 进 行 说 明 。 虚 拟 软件 拥有 实时 迁移 功能 ， 
它 能 够 在 不 造成 停机 〈 虚 拟 机 ) 的 前 提 下 对 物理 服务 器 进行 实时 迁移 ， 这 
在 Xen 中 叫 作 XenMotion， 在 VMware 中 叫 作 vMotion。 执 行 实 时 迁移 时 ， 
虚拟 机 会 从 一 台 物 理 服务 器 移动 到 男 一 台 物 理 服务 器， 然而 L2 交换 机 并 不 
知道 这 一 情况 ， 于 是 虚拟 机 移动 之 后 会 发 出 GARP4。L2 交换 机 在 收 到 
GARP 后 ， 会 去 查看 该 GARP 的 源 MAC 地 址 ， 并 更 新 MAC 地 址 表 ， 使 迁 
移 之 后 的 物理 服务 器 能 够 维持 正常 通信 。 


L2 交 换 机 


实时 迁移 前 实时 迁移 后 
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图 2.1.44 通过 GARP 追踪 实时 迁移 之 后 的 虚拟 机 


| * 也 有 些 设备 并 不 发 出 GARP 通告 ， 遇 到 这 种 情况 时 我 们 需要 自己 去 清空 周边 节点 的 ARP 表 。 


虽然 不 同 ， 原 理 却 是 一 样 的 ，RARP 也 会 去 更 新 MAC 地 址 表 。 


4VMware 的 vMotion 采用 的 是 RARP (Reverse Address Resolution Protocol， 反 向 地 址 转换 协议 ) 。 协 议 


2.2 ”网 络 层 的 技术 


网 络 层 将 不 同 的 网 段 连 接 起 来 ， 确 保 端 到 端的 正常 通信 ;与 此 相对 ， 数 据 链 路 

全 是 将 同一 网 段 中 的 节点 连接 起 来 而 已 。 假 如 我 们 要 连接 国外 的 Web 服务 
， 由 于 网 段 不 同 ， 在 数据 链 路 层 这 个 层面 是 根本 无 法 连接 起 来 的 ， 而 网 络 层 
能 将 数据 链 路 层 中 的 一 个 个 小 网 段 拼接 成 一 个 大 网 络 。 当 今 ， 互 联网 已 经 是 

我 们 日 千 生活 中 不 可 成 大 的 在 全 “互联 网 ”其 实 就 是 人 们 将 “相互 ” (Inter) 


和 “网 络 ” (Network) 合 二 为 一 创造 出 来 的 一 个 特殊 词汇 〈 不 过 现在 已 经 是 个 普 
通 名 词 了 ) 。 大 量 的 网 段 彼此 相连 ， 就 形成 了 互联 网 。 


2.2.1 网络 是 由 网 络 层 拼接 起 来 的 


网 络 层 是 确保 不 同 网 段 中 的 市 点 能 够 彼此 相连 的 层 。 前 面 已 经 讲 过 ， 数 据 链 路 
层 是 确保 同一 网 段 中 的 相 邻 节点 能 够 彼此 相连 的 层 。 网 络 层 则 负责 将 数据 链 路 
层 中 形成 的 网 段 拼接 起 来 ， 使 不 同 网 段 中 的 不 相 邻 节点 也 能 够 互联 通信 。 为 
网 络 层 要 为 报 文 段 添 加 IP 报头 。 这 种 泼 加 了 P 报 六 的 外 理 吊 作 " 分 组 化 处 

” (国内 很 多 教材 称 作 “IP 封装 ”) ， 经 过 报 文 分 组 处 理 得 到 的 数据 叫 作 IP 数据 
包 网 络 导 中 定义 了 分 组 化 的 从 种 六 式 。 


网 络 层 是 OSI 参考 模型 中 从 下 往 上 数 的 第 三 层 。 发 送信 息 时 ， 网 络 层 将 来 自传 
给 层 的 作 据 ( 报 文 及 ”六 行 分 组 化 处 理 后 去 给 数 据 硅 牙 层 《也 要 困 还 需要 员 行 
分 片 处 理 ) ， 接 收 信息 时 ， 则 是 对 来 自 数据 链 路 层 的 帧 做 一 个 和 分 组 以 及 分 片 
恰好 相反 的 重组 处 理 后 交 给 传输 层 。 


图 2.2.1 网 络 层 为 报 文 段 添加 IP 报头 
2.2.1.1 添加 卫 报头 ， 进 行 分 组 化 处 理 
在 网 络 层 的 分 组 化 处 理 中 为 报 文 段 添加 的 头 部 叫 作 JP 报头。 前面 介绍 过 的 以 太 


网 报头 非常 简单 ，IP 报头 就 稍微 复杂 一 些 了 。 为 了 让 报 文 段 在 世界 各 地 的 各 种 
网 络 中 通行 无 阻 而 无 需 在 意 网 络 差异 ，IP 报头 中 被 添加 进 了 大 量 的 信息 。 


人 
图 2.2.2 IP 报头 中 包含 着 诸多 的 信息 (IPv4 报头 ， 无 可 选 字段 ) 


IP 报头 中 包含 着 诸多 的 信息 ， 但 是 j 要 去 全 盘 理 解 。 0 
设计 服务 吉 问 册 展 开 的 ， 因 此 下 面 仅 介绍 一 些 与 该 内 容 相关 的 常见 字段 以 及 经 
需要 我 们 去 查询 的 字段 。 


IP 版 本 分 IPv4 和 IPv6 两 种 


首先 我 们 来 看 一 下 版 本 。 版 本 是 指 IP (Internet Protocol， 互 联网 协议 ) 的 版 
本 ，IPv4 为 第 四 版 (用 二 进 制 写 是 0100) ，IPv6 是 第 六 版 (用 二 进 制 写 是 
0110) 。 版 本 不 同 ， 后 面 的 了 P 报头 中 的 信息 就 不 一 样 。 图 2.2.3 和 图 2.2.4 展示 
的 是 IPv4 的 IP 报 头 。 


因 10 10.640000 111.1.1 3223 SE ER ba 


3 Ethermet Hl, sre; 000i0270100100 sr Of:70:00; 00), Dst: oN rr 70;00:;00 (cc:01:0f:70:;00:00) 
Bs Destination: ce:01:0f:70:00:00 (cc:01:0f:;70:00:00) 
3 Source: cc:00:0F;70:00:00 (cc:00:0f:70:00;00) 


3 Tntemet protocof Version 4, Sre: ,E31 {1,31), Dst: 2.2:2.2 (2-2:2.2) 
Vergion: 4 
Header length: 20 bytes 
S Differentiated Services Field: Ox00 (DSCP Ox00: Dafoult; ECN: Ox00; Not-ECT (Not ECN-Capabls Transport)) 
0000 00.. = Dfferentioted Services Codepoint: Defoult (Ox00) 
00 = Explict Congestion Notification; Not-ECT (Not ECN-Capable Transport) (0x00) 


Es pooe ON 天 分 片 相关 的 宁 没 。 
ed boke 
Dont fragment: NOt set 
MoOre fragments: Not set ~ 


图 2.2.3 ”Wireshark 对 IP 报头 进行 分 析 的 画面 


: ”看 这 些 牢 眉 就 能 知道 数据 包 
4 是 被 如 何 分 片 的 


DF: OMF:O 


MTU=1000 


MTU=1500 


图 2.2.4 根据 IP 报头 信息 可 将 被 分 片 的 数据 包 还 原 


IPv6 是 在 IPv4 地 址 资源 日 渐 村 竭 的 再 景 下 大 张 旗 懂 地 出 现 于 网 络 界 的 ， 然 而 从 
目前 的 情况 来 看 ， 新 旧版 本 的 过 渡 和 交接 并 不 尽 如 人 意 。 至 少 对 服务 器 端 而 
eo 引进 的 优势 也 不 明显 ， 因 此 IPv4 的 时 
代 可 外 仍 将 继续 下 去 ， 不 会 出 现 突然 需要 全 面 更 换 版 本 的 情况 。 不 过 我 们 仍然 
需要 认 清 今后 的 发 展 趋势 ， 逐渐 下 站 生起 为 服务 器 端 更 换 TP 版 水 的 问题 。 本 书 
对 IPv6 的 说 明 到 此 为 止 ， 后 面 将 不 再 触及 。 


标识 符 、 标 志和 分 片 偏 移 量 用 于 分 片 


标识 符 、 标 志和 分 片 偏 移 量 这 三 个 字段 都 和 数据 包 的 分 片 〈 报 文 分 请) 有 关 ， 
它们 表示 了 数据 包 是 被 如 何 分 片 的 。 


。 标 识 符 


标识 符 是 生成 数据 包 时 被 随机 分 配 的 数据 包 ID， 长 度 为 16 位 。 当 IP 数据 
和 
组 。 


标志 


标志 的 长 度 为 3 位 。 前 1 位 不 用 ; 第 2 位 叫 作 DEF 位 (Don't fragment bit， 
禁止 分 片 位 ) ， 表 示 是 否 允 许 分 片 ，0 代表 允许 ，1 代表 不 允许 ;第 3 位 叫 
作 MF 位 (More fragment bit， 后 继 分 片 位 ) ， 表 示 分 片 之 后 的 数据 包 是 
仍 有 后 续 ，0 代表 没有 ，1 代表 有 。 如 果 在 PPPoE 环境 中 将 MTU 设 轩 销 识 
数据 包 就 会 丢失 ， 特 定 的 网 页 就 会 消失 ， 这 种 现象 和 标志 字段 有关， 详情 
将 在 3.1.1.3 节 中 解说 。 


。 分 片 偏 移 量 


分 片 偏 移 量 表示 分 片 之 后 的 数据 包 位 于 原始 数据 包 的 哪个 位 置 《从 原始 数 
据 包 的 开始 处 算 起 ) ， 以 8 字 节 为 单位 。 分 片 之 后 的 第 一 个 数据 包 的 值 为 
0， 后 面 的 数据 包 则 会 写 入 表示 其 位 置 的 值 。 主 机 收 到 数据 包 后 根据 这 些 值 
去 安排 数据 包 的 顺序 。 


TIL 表示 数据 包 的 寿命 


TTL (Time To Live, 生存 时 间 ) 表示 的 是 数据 包 的 寿命 。 在 IP 的 世界 里 ， 人 们 
0 过 的 路 由 器 个 数 表示 数据 包 的 寿命， 经 过 的 路 由 器 个 数 ” 叫 作 跳 跃 计 
数 。 每 经 过 一 个 路 由 器 ， 也 就 是 每 经 过 一 个 网 段 ，TTIL 的 数值 就 要 减 一 ， 当 计 
数 到 雪 时 该 数据 包 就 会 被 丢弃 。 丢弃 数据 包 的 路 由 器 会 返回 一 个 ICMP (Internet 
Control Message Protocol， 互 联网 控制 报 文 协议 ) 数据 包 ， 该 包 显 示 了 “Time-To- 
Live exceeded (类 型 11 代号 0) ”的 消息 ， 通 知 主机 已 将 原 数 据 包 丢弃 。 关 于 
ICMP 的 内 容 将 在 2.2.5 节 中 详细 说 明 。 


|5 其实 ， 数 据 包 4 全 运行 于 网 络 层 或 网 络 层 之 上 的 设备 时 数值 也 痢 要 减 一 例如 ， 经 过 I3 交换 机 
或 人 各 和 吕 NT TIL a 减少 。 


TTL 用 于 防止 路 由 循环 。 路 由 循环 是 指 错误 的 路 由 设置 导致 耻 数据 包 在 同一 个 
地 方 不 断 循环 的 现象 。IP 站 据 包 即 全 只 是 在 同一 个 网 段 中 不 断 循环 ，TTL 仍然 
会 计数 ， 导 致 数据 包 最 后 会 被 丢弃 。 不 断 循环 的 数据 包 并 不 会 一 直 占 用 市 宽 。 


| 二 每 经 过 一 个 路 由 器 ,TTL 的 
数值 就 会 藉 一 不 再 发 送 数 据 包 


oooevosevessyesyeen 


人 一心 

人 A @ 在 这 时 析 雪 
I@MP ICMP 

TInL 超 时 TL 超时 


TIL ea. 本 
数据 包 丢 掉 


图 2.2.5 ”TTL 每 经 过 一 个 路 由 器 ， 数 字 就 会 减 一 
协议 编号 表示 数据 遵循 的 是 哪 种 协议 


协议 编号 表示 了 该 数据 遵循 的 是 哪 一 种 协议 。 人 们 定义 了 很 多 种 协议 ， 笔 者 将 
工作 现场 中 常见 的 协议 整理 成 了 如 下 所 示 的 一 张 表 。 


表 2.2.1 现场 中 常见 的 协议 编号 


ICMP (Internet Control Message Protocol， 互 联网 控制 报 文 协议 ) 


(Internet Group Management Protocol， 互 联网 组 管 


(Transmission Control Protocol， 传 输 控 制 协议 ) 


(User Datagram Protocol， 用 户 数 据 报 协议 ) 


(Generic Routing Encapsulation， 通 用 封装 协议 ) 


(Encapsulating Security Payload ， 封 : 


EIGRP (Enhanced Interior Gateway Routing Protocol， 加 强 型 内 部 网 关 路 


OSPF (Open Shortest Path First， 开 放 式 最 短路 径 优先 


(Virtual Router Redundancy Protocol， 虚 拟 路 


源 / 目 的 IP 地 址 表示 网 络 上 的 地 址 


IP 地 址 表示 网 络 上 的 地 址 ， 长 度 为 32 位 ， 一 般 会 采 
用 “XXX.XXX.XXX.XXX” 这 样 的 十 进 制 形式 来 表示 。 


源 了 地 址 表示 发 送 方 本 机 的 网 络 地 址 。 网 络 的 世界 都 是 双 回 沟通 的 ， 殉 像 一 方 
说 “ 劳 殴 把 这 样 的 数据 发 给 我 吧 ”*”， 男 一 方 回 “ 这 束 发 给 你 哦 >"， 然 后 这 一 方 又 

说 “谢谢 啦 ” 这 样 ， 互 相 来 往 并 以 此 成 立 网 络 世界 。 对 方 看 到 源 IP 地 址 字段 ， 就 
能 知道 应 将 信息 返 同 何 处 。 与 源 IP 地 址 相对 的 是 目的 IP 地 址 ， 发 送 方 在 发 送信 
息 的 时 候 会 用 到 这 个 地 址 。 


网 络 层 是 因 IP 地 址 而 存在 的 层 ， 我 们 将 在 下 一 节 中 详细 说 明 。 


节点 站 节点 B 


节点 A 的 |P 地 址 节点 8 的 IP 址 
XX.XX.XX.XX YY 


劳 驾 把 这 样 的 煞 据 发 给 我 吧 


目的 |P 地 址 源 |P 地 址 
YYYYYYYY | XXXX.XXXX 


这 就 发 给 你 或 
WY 


图 2.2.6 ”网络 的 世界 都 是 双向 沟通 的 


最 后 ， 我 们 再 来 把 IP 报头 的 字段 整理 成 一 张 表 看 看 ， 各 位 在 需要 快速 查询 时 也 
可 以 参考 这 张 表 。 


表 2.2.2 IP 报头 中 包含 着 诸多 的 信息 


表示 IP 协 议 的 版 本 。 
IPv4: 0100 (二 进 制 ) 
IPv6: 0110 (二 进 制 ) 


、| 表示 IP 报 头 的 长 度 ， 以 4 字 节 为 单位 


ToS (Type of 


1 服务 表示 数据 包 的 优先 顺序 ， 用 于 QoS (Quality of Service， 服 务 质量 
类 型 ) 


示 整 个 数据 包 的 长 度 


于 识别 数据 包 
标识 符 | 分 片 〈 报 文 分 片 ) 时 根据 这 个 字段 识别 它 是 哪个 数据 包 的 分 片 。 标 识 符 
源 主 机 随机 分 配 


外 是 否 多 许 分 


片 之 后 的 数据 包 位 于 原始 数据 包 的 哪个 位 


表示 数据 包 的 寿命 

具体 来 说 ， 表示 数据 包 经 过 了 几 人 台 路 器。 默认 值 为 64， 每 经 

立 | 器 就 会 减 一 ， 当 路 由 器 收 到 TTL = 1 的 数据 包 时 会 将 数据 包 丢 
ICMP 数 据 包 


“~ 层 协议 


ee 检查 Ip 报 头 字段 是 否 有 误 的 字段 。 由 于 每 经 过 器 TTL 的 数值 
报头 校 验 和 就 会 改变 ， 报 头 校 验 和 值 是 以 路 由 器 为 单位 发 生 


络 上 的 主机 源 地 址 。 如 果 没 有 这 个 字段 ， 对 方 就 无 法 ; 


的 卫 地址 位 网 络 上 的 对 方 目的 地 址 。IP 数据 包 将 发 送 到 这 个 地 址 


2.2.1.2 IP 地址 由 32 位 构成 


IP 地 址 是 一 种 由 32 位 构成 的 、 独 一 本 的 识别 信息 ， 是 在 网 络 内 外 都 有 效 的 地 
址 。 以 IP 地址 192.168.1.1 为 例 ， 它 是 将 32 位 按 每 8 位 分 成 4 组 ， 然 后 换算 成 

十 进 制 并 用 小 数 点 分 隔 开 表示 的 。 知人 不 区 亲 即 每 个 群集 ， 叫 作 8 位 字 节 。 从 

前 面 开 始 ， 分 别 叫 作 第 一 8 位 字 节 、 第 二 8 位 字 节 ... 依次 类 推 。 


TE 


. 
Np 


按 每 8 位 对 人 当 
后 再 接 算 臣 十 
进 纤 


第 外 8 位 学 节 


几 十 进 书写 时 , 时 三 位 数 
这 屯 用 一 个 小 数 训 下 开 


图 2.2.7 IPv4 地 址 被 小 数 点 分 隔 成 四 个 区 间 


子 网 掩 码 是 网 络 和 主机 的 标记 


IP 地 址 并 非 单 独 存在 ， 而 是 与 子 网 掩 码 相 结合 ， 共 同 发 挥 作用 的 。IP 地 址 可 分 
为 两 个 部 分 ， 一 个 是 网 络 部 分 ， 另 一 个 则 是 主机 部 分 。 


网 络 部 分 表示 网 段 本 身 ， 也 就 是 说 ， 它 既是 广播 域 也 是 VLAN， 同 时 还 是 报 文 

段 。 主 机 部 分 则 表示 与 该 网 段 相 连 的 节点 。 子 网 掩 码 就 是 将 这 两 个 部 分 分 ) 陋 开 

的 标记 ， 子 网 掩 码 中 的 1 代表 网 段 地 址 ，0 代表 主机 地 址 。 和 IP 2 样 ， 设 

置 子 网 掩 码 时 每 三 位 数 (用 二 进 制 来 表示 的 话 是 每 八 位 数 ) 就 要 用 一 个 小 数 点 

隔 开 ， 最 后 分 成 四 个 部 分 并 换算 成 十 进 制 。 举 个 例子 ， 假 设 针对 IP 地 址 

设置 的 子 网 掩 码 是 255.255.0.0， 那 么 我 们 就 能 知道 这 是 网 络 176.16 的 
J 1.1。 


jP 地 址 (二 进 磷 ) 


图 2.2.8 ” 子 网 掩 码 将 IP 地 址 分 隔 开 
有 些 特殊 的 IP 地 址 已 被 占用 ， 因 而 无 法 设置 


是 不 是 网 络 中 的 所 有 IP 地 址 都 能 够 使 用 呢 ? 并 不 一 定 。 有 些 IP 地 址 是 已 经 被 系 
统 占用 了 的 ， 其 中 有 三 种 常用 于 网 络 设计 和 故障 排除 ， 它 们 分 别 是 网 络 地 址 、 
广播 地 址 和 环 回 地 址 。 


。 网 络 地 址 


网 络 地 址 是 指 主机 部 分 的 IP 地址 位 都 是 0 的 IP 地址 ， 代 表 了 网 络 本 身 。 举 
个 例子 ， 如 果 针 对 IP 地 址 192.168.1.1 设置 的 子 网 掩 码 是 255.255.255.0， 那 
么 192.168.1.0 就 是 网 络 地 址 。 


网 货 漠 趟 二 下 


图 2.2.9 网络 地 址 的 主机 部 分 都 是 0 
广播 地 址 
广播 地 址 是 指 主机 部 分 的 卫 地 址 位 都 是 1 的 耳 地 址 ， 代 表 了 同一 网 段 中 的 


所 有 节点 。 举 个 例子 ， 如 果 针 对 IP 地 址 192.168.1.1 设置 的 子 网 掩 码 是 
255.255.255.0， 那 么 192.168.1.255 就 是 广播 地 址 。 


Serr 


paooonoo| [| 4 


广播 地 址 | 十 进 制 


图 2.2.10 广播 地 址 的 主机 部 分 都 是 1 
广播 地 址 有 三 种 ， 分 别 为 本 地 广播 地 址 、 直 接 广播 地 址 和 有 限 广播 地 址 。 


为 了 方便 说 明 ， 这 里 我 们 假设 某 个 节点 设置 的 了 王 地 址 为 192.168.1.1/24。 


本 地 广播 地 址 指 本 机 所 属 网 段 的 广播 地 址 。 由 于 192.168.1.1/24 的 节点 隶属 
于 192.168.1.0/24 网 段 ， 所 以 它 的 本 地 广播 地 址 就 是 192.168.1.255。 向 
192.168.1.255 发 送 报 文 时 ， 同 一 网 段 中 的 所 有 节点 都 会 收 到 该 报 文 。 


PEE EE 


; 192.168.1.0/24 : : 192.168.2.0/24 : 


闪闪 有 . 


tt, repo pastor epee etergen, ponerse 


; i 192.168.1.1 :| 192.168.1.2 : : { 192.168.2.1 | 19216822 j 


si 人 
EE L2 交 换 机 
Eee 

了 ll i i 192168 192.168 f 时 

: i i 2.254 | i 

; : : i 

和 : i 

i : : i 

i { 192.168.1.3 | : : : 192.168.2.3 i 192.168.24 


图 2.2.11 本 地 广播 地 址 表示 同一 网 段 中 的 所 有 节点 


直接 广播 地 址 是 指 非 本 机 所 属 网 段 的 广播 地 址 。 由 于 192.168.1.1/24 的 节点 
隶属 于 192.168.1.0/24 网 段 ， 所 以 像 192.168.2.255、192.168.3.255 这 样 的 地 
址 就 是 非 192.168.1.255 的 广播 地 址 ， 也 就 是 直接 广播 地 址 。 直 接 广 播 用 于 
远程 开机 (WoL，Wake-on-LAN， 局 域 网 唤醒 ) 6 。 


fF 


Y 192.168.2.2 : 


192.168 
2.254 


92.168 
.1.254 


Lisz16823 i 19216824 ): 


EEEEEEEEELES 


图 2.2.12 直接 广播 地 址 代表 不 同 网 段 中 的 所 有 节点 


后 我 们 再 来 看 看 有 限 广播 地 址 。 有 线 广播 地 址 只 有 一 种 ， 其 IP 地 址 为 
255.255.255.255 。 向 255.255.255.255 发 送 报 文 时 ， 同 一 网 段 中 的 所 有 克 点 
都 会 收 到 该 报 文 ， 这 一 点 和 本 地 广播 地 址 一 样 。 不 过 ， 有 限 广播 地 址 用 于 
不 知道 本 机 IP 地 址 或 网 络 的 睛 况 ， 也 用 于 DHCP 报 文 的 发 送 。 关 于 DHCP 
的 内 容 将 在 2.2.4.2 节 中 详细 说 明 。 


ee bd dd dd 


天 
errorttronterneennt en generertt ont netneretepeenh ” S pm, 


: | 1921681111 | | 192.168.12 : : : | 192.16822 | 


CY TT ssosesheresse 让 essossyerssoy 


L2 交 换 机 


Co 


| 192.168 192.168 : 


192.168.1.4 


: 1 192.16813 | i 


转发 给 同一 网 绢 中 的 所 有 节点 
图 2.2.13 有 限 广播 地 址 代表 同一 网 段 中 的 所 有 节点 
环 回 地 址 
a IP 地 址 ， 它 的 第 一 8 位 字 节 是 127。 只 要 第 一 8 
位 字 节 是 127， 后 面 无 论 是 多 少 都 没关系 ， 但 人 们 一 般 会 使 用 


127.0.0.1/32 。 在 Ww 和 Mac 中 ， 除 了 用 户 自 己 设置 的 之 外 ,该 他 地 
址 都 自动 设 为 了 127.0.0.1/32。 


BB 127 
环 加 地 址 | 二 进 员 】 。 由 9 


Oy 一 - 
POTTYEITTITT TITETIIETZTD 
ne NR 


|r 习 地 址 【十 进 巴 ) 


PE 


图 2.2.14 环 回 地 址 代表 设备 本 身 的 地 址 


6 WoL 是 一 种 通过 网 络 远程 启动 PC 或 服务 器 的 技术 。 它 通过 发 送 一 个 叫 作 Magic Packet 的 、 由 特定 比特 


A eh 。 如 果 PC 或 服务 器 处 于 等 得 开机 的 状态 则 无 法 知道 它们 的 IP 地址， 所 以 要 
| 朗 / 9 
分 类 编 址 ， 一 目 了 然 


IP 地 址 代表 网 络 上 的 地 址 ， 每 个 IP 地 址 在 互联 网 上 都 必须 是 独一无二 的 才 行 ， 
因此 绝 不 可 以 随便 使 用 。 目 前 ， 由 一 个 叫 作 ICANN (The Internet Corporation for 
Assigned Names and Numbers， 互 联网 名 称 与 数字 地 址 分 配 机 构 ) 的 民间 非 营利 
性 法 人 及 其 下 属 组 织 管理 和 分 配 着 互联 网 上 的 卫 地 址 。 


在 初期 的 互联 网 中 ， 人 们 按照 网 络 规模 大 致 划分 了 卫 地 址 空间 ， 然 后 将 IP 地 址 
分 配给 了 各 家 企业 和 组 织 ”。 这 里 所 说 的 网 络 规模 叫 作 地 址 分 类 。 


| 7 各 国 隶 属于 ICANN 的 国家 互联 网 注册 机 构 负 责 分 配 自己 国家 的 IP 地 址 。 


图 2.2.15 ICANN 及 其 下 属 机 构 管 理 着 IP 地 址 
参考 URL: https://www.nic.ad.jp/ja/ip/ipv4-pool/provider.html 


IP 地 址 分 类 从 A 到 E 有 五 种 ， 用 前 1 一 4 位 区 别 开 。 实 际 上 可 用 于 节点 地 址 分 
配 的 是 A、B 和 C 这 三 种 类 型 ， 网 络 部 分 和 主机 部 分 以 8 位 字 市 为 单位 ， 也 就 
征 每 隔 8 位 便 分 隅 开 。 这 种 以 每 8 位 分 隅 开 的 地 址 分 配方 式 叫 作 分 类 编 址 ， 用 
这 种 方式 分 配 的 IP 地 址 叫 作 分 类 地 址 。 


。A 类 


A 类 了 地 址 的 第 1 位 都 是 0。 前 8 位 为 网 络 地 址 ， 剩 下 的 24 位 为 主机 地 
址 ， 可 分 配给 16 777 214 (224 一 2) 台 机 器 。 拥 有 众多 节点 的 ISP 〈Internet 


Service Provider， 互 联网 服务 提供 商 ) 、 在 互联 网 创始 期 就 参与 其 中 的 企业 
以 及 研究 机 关 等 用 的 就 是 A 类 地 址 。 


。B 类 

B 类 IP 地址 的 前 2 位 都 是 10， 前 16 位 为 网 络 地 址 ， 剩 下 的 16 位 为 主机 地 
址 ， 可 分 配给 65 534 (216 一 2) 台 机 器 。 规 模 比 ISP 小 一 些 的 很 多 大 企业 
用 的 就 是 B 类 地 址 。 

。C 类 

C 类 TIP 地址 的 前 3 位 都 是 110， 前 24 位 为 网 络 地 址 ， 剩 下 的 8 位 为 主机 地 
址 ， 可 分 配给 254 (28 一 2) 台 机 器 。 所 需 IP 地 址 比较 少 的 中 小 企业 等 大 多 
采用 C 类 地 址 。 

。D 类 

D 类 IP 地址 的 前 4 位 都 是 1110， 用 作 多 播 地 址 。 多 播 是 一 对 多 (特定 的 多 
播 组 ) 的 通信 方式 ， 比 起 向 整个 网 络 发 送 数据 包 〈 泛 洪 ) 的 广播 ， 多 播 的 
转发 效率 更 好 ， 因 此 D 类 地 址 一 般 用 于 流 式 播 放 等 8 。 

e。 上 上 类 

E 类 IP 地 址 的 前 4 位 都 是 1111， 用 于 研究 ， 一 般 不 公开 使 用 。 


a YouTube 是 多 播 ， 这 是 误解 。YouTube 服务 器 和 浏览 器 进行 的 是 一 对 一 的 HTTP 通信 ， 所 以 它 
下 Le 


:ls |) [x [x|x|lxlx|x|x|x| pel la Tala les 


| | 


a He 日 
| | | 
| [x|x[x[xlx[xlxlx| [xlxIx[x|x[x[xIx] [x|x[x[x[x[x|x[x| 
| | | 
# { 
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XXZX 


图 2.2.16 ”地 址 分 类 由 前 1 ~~ 4 位 决定 


i i 
i i 
# 1 


表 2.2.3 ”组织 的 规模 和 所 需 IP 地 址 的 数量 决定 了 使 用 的 地 址 类 型 


IC 


Ee 128.0.0.0 191.255.255.255 16 位 16 位 65 534 (=216 一 2) 


1 0 所 以 “一 2* 之 后 的 数字 为 最 大 
数 。 


10 0.0.0.0 和 127.0.0.0/8 已 被 系统 占用 ， 分 别 用 于 默认 路 由 地 址 和 环 回 地 
址 。 


世 255.255.255.255 已 被 系统 占用 ， 用 于 有 限 广 播 地 址 。 
无 分 类 编 址 可 避免 资源 浪费 


前 面 对 分 类 编 址 作 了 详细 的 讲解 ， 不 过 现在 人 们 其 实 已 经 不 再 使 用 它 了 。 为 什 
么 昵 ? 因为 分 类 地 址 按 每 8 位 分 隔 开 网 络 和 主机 地 址 的 做 法 虽然 使 人 易于 理 
解 ， 但 也 带 来 非常 多 的 浪费 。 我 们 以 A 类 为 例 来 说 明 。 按 该 类 的 原则 去 2 分 配 ， 
就 会 消耗 掉 一 半 左 右 可 供 分 配 的 了 P 地 址 。 试 想 ， 一 家 企业 会 需要 1600 万 个 IP 
地 址 吗 ? 恐怕 不 会 。 分 配 完 真 正 需要 的 了 地 址 之 后 ， 列 的 就 只 能 闲置 了 ， 这 
是 对 次 筑 源 的 巨大 浪费 , 于 是 人 们 提出 了 一 个 叫 作 无 分 类 编 址 的 全 新 概念 。 目 
前 ，ICANN 就 是 用 这 这 种 方式 去 分 配 IP 地 址 的 。 


无 分 类 编 址 方式 将 分 类 地 址 分 割 成 一 种 叫 作 子 网 的 更 小 的 地 址 单位 ， 并 以 此 去 
分 配 IP 地 址 。 无 分 类 编 址 又 称 子 网 划分 或 CIDR (Classless Inter-Domain 
Routing， 无 分 类 域 间 路 由 ) “除了 网 络 部 分 和 主机 部 分 之 外 ， 无 分 类 编 址 中 还 
有 一 个 全 新 概念 的 子 网 部 分 ， 构 成 了 新 的 网 络 部 分 。 子 网 部 分 原 是 属于 主机 部 
分 的 ， 但 现在 人 们 利用 它 将 地 址 分 割 成 更 小 的 单位 。 


下 面 我 们 以 192.168.1, 0 为 例 ， 看 看 如 何 将 原 网 络 划 分 成 若干 个 子 网 。 

192.168.1.1 是 C 等 级 地 址 ， 因 此 网 络 部 分 为 24 位 ， 主 机 部 分 为 8 位 。 我 们 要 在 
主机 部 分 分 出 子 网 ， 给 子 网 分 配 多 少 位 取决 于 我 们 实际 所 需 的 IP 地 址 数量 和 网 
络 数 量 。 假 设 需 要 16 个 子 网 ， 那 么 我 们 就 应 分 配 4 位 给 子 网 以 形成 新 的 网 络 部 
分 ， 这 样 才 能 分 割 出 16 (24 ) 个 子 网 来 。 这 样 做 的 话 ， 我 们 能 得 到 IP 地址 为 
1 168.1.0/28 ~ 192.168.1.240/28 范围 内 的 16 个 子 网 ， 并 且 对 每 个 子 网 都 可 以 
分 配 14 (24 一 2) 个 IP 地 址 。 


了 P 地 批 { 二 进 制 } 


子 网 按 码 (十 进 上 } 


图 2.2.17 无 分 类 编 址 将 网 络 划 分 成 若干 个 子 网 

无 分 类 编 址 的 位 计算 很 麻烦 ， 容 易 算 错 、 也 容易 忘记 。 尤 其 在 设计 网 络 时 ， 由 
于 子 网 掩 码 不 止 一 个 ， 算 法 会 更 加 复杂 。 笔 者 设计 时 一 般 会 整理 出 一 张 表 用 来 
随时 参考 。 表 2.2.4 就 是 将 192.168.1.0/24 划分 成 16 个 子 网 时 整理 的 示例 。 


表 2.2.4 将 子 网 整理 成 表 就 一 目 了 然 了 


255.255.255:192 | 255:255.255.224 | 255.255.255,240 


/25 127 128 
=256-2) | 1260=T128-2)) 30 {=32-2] 14 {=16-2) 


192.168.1.0 
192.168.1.0 


192.168.1.16 


192.168.1.0 
192.168.1.32 


192.168.1.48 
192.168.1.64 
192.168.1.64 
192.168.1.80 


192.168.1,32 
192.168.1.0 


192.168,1.64 
192.168.1.96 
分 配 网 络 | 192.168,1.0 
192.168.1,128 
192.168.1.144 
192.168.1.128 
192.168.1.160 
192.168.1,160 
192.168.1.128 
192.168.1,192 
192:168.1.192 


192.168.1.224 
192.168.1.224 
192.168.1.240 


2.2.2 ”将 网 段 连接 起 来 


在 网 络 层 运 作 的 设备 只 有 路 由 器 和 L3 交换 机 这 两 种 ， 掌 握 了 它们 ， 基 本 上 就 能 
应 对 所 有 的 网 络 环 境 。 我 们 在 前 面 已 经 说 过 ，L2 交换 机 的 作用 是 根据 数据 链 路 
层 (L2) 中 的 MAC 地 址 信息 转发 帧 。 与 此 相似 ， 路 由 器 和 L3 交换 机 是 根据 网 
络 层 (L3) 中 的 他 地 址 信息 转发 数据 包 。 对 数据 包 的 转发 目的 地 进行 切换 的 过 
程 叫 作 路 由 选择 。 


2.2.2.1 利用 IP 地 址 进行 路 由 选择 

接 下 来 ， 我 们 来 看 看 路 由 器 和 3 交换 机 是 如 何 进 行路 由 选择 的 。 

前 面 已 经 说 过 ，L2 交换 机 是 通过 MAC 地 址 表 来 交换 帧 的 。 与 此 相似 ，L3 交换 
机 和 路 由 器 是 通过 路 由 表 对 IP 数据 包 进 行路 由 选择 的 。 路 由 表 由 “目的 网 段 ”“ 下 
一 跳 “ 路 由 协议 ”度量 值 ”等 多 种 信息 构成 ， 它 告诉 我 们 将 数据 包 转 发 给 哪个 IP 
地 址 就 能 抵达 目的 网 段 。 其 中 ， 最 重要 的 信息 是 “目的 网 段 "? 和 “下 一 跳 "*， 我 们 就 
先 用 这 两 项 来 说 明 路 由 选择 的 基本 原理 。 


使 用 路 由 表 进 行路 由 选择 


假设 这 里 有 如 下 设置 的 两 个 节点 ， 即 节点 A 和 市 点 B， 它 们 是 双向 通信 的 ， 我 
们 来 看 看 数据 包 是 被 如 何 搬运 的 。 


表 2.2.5 节点 A 和 节点 B 的 设置 


子 网 掩 码 


255.255.255.0 


255.255.255.0 


1 ”节点 A 生成 IP 了 数据 包 ， 封 装 成 帧 后 传递 给 线 绕 ， 日 的 是 发 给 节点 B， 这 
里 还 只 是 在 进行 单 播发 送 。 源 IP 地 址 是 节点 A 的 人 PP 地址 (1.1.1.1) ,目的 IP 
地 址 是 节点 B 的 IP 地 址 (3.3.3.3) 。 由 于 节点 A 无 法 和 不 同 网 段 中 的 节点 B] 
接 通 信 ， 因 此 数据 包 将 会 被 发 给 预先 设置 好 的 默认 网 关 R1。 


和 
了 和 
2 2 2 


到 


图 2.2.18 ”生成 数据 包 并 发 给 默认 网 关 


2 ~” 收 到 数据 包 后 ，R1 去 查看 其 中 的 目的 IP 地 址 并 在 路 由 表 中 查找 。 收 到 的 
数据 包 的 目的 卫 地 址 是 3.3.3.3， 查 找 后 发 现 路 由 表 中 有 3.3.3.0/24 项 ， 它 对 应 
的 下 一 跳 是 R2， 于 是 数据 包 被 发 往 R2。 如 果 R1 在 路 由 表 中 找 不 到 该 日 的 网 
段 ， 那 么 数据 包 就 会 被 丢弃 。 


图 2.2.19 查看 路 由 表 ， 找 出 应 将 数据 包 发 往 何 处 的 信息 


3 ~” 收 到 数据 包 后 ，R2 去 查看 其 中 的 目的 卫 地 址 并 在 路 由 表 中 查找 。 收 到 的 
数据 包 的 目的 卫 地 址 是 3.3.3.3， 查 找 后 发 现 路 由 表 中 有 3.3.3.0/24 项 ， 它 是 直 
连 的 网 络 ， 于 是 ARP 去 查询 节点 B 的 MAC 地 址 ， 然 后 将 数据 包 发 给 节点 B。 


图 2.2.20 ”向 同一 网 段 中 的 节点 发 送 数据 包 


4 一 ” 收 到 数据 包 后 ， 节 点 B 断定 该 数据 包 是 发 给 自己 的 ， 于 是 生成 一 个 回应 
数据 包 ， 封 装 成 帧 后 传递 给 线 缆 ， 目 的 是 发 给 节点 A。 这 时 候 ， 源 耳 地 址 是 节 
点 B 的 全 地 址 (3.3.3.3) ， 目 的 IP 地址 是 节点 A 的 IP 地 址 (1.1.1.1) 。 从 节 


点 也 的 角度 来 看 节点 A 是 不 同 网 段 中 的 和 点 ， 因 此 回应 数据 包 将 会 被 发 给 预先 
设置 好 的 默认 网 关 R2。 


2.2.2.0124 


图 2.2.21 生成 回应 数据 包 


5 ~- ”对 于 回应 的 数据 包 ，R2 同样 也 会 查看 目的 IP 地 址 并 在 路 由 表 中 查找 ， 然 
后 转发 给 下 一 跳 。 在 不 断 重复 这 些 步 对 的 过 程 中 最 终 将 歼 据 包 发 至 季 点 A， 完 
双向 通信 。 


图 2.2.22 ”回应 的 数据 包 也 会 去 查看 路 由 表 
了 解 路 由 表 的 构造 
下 面 ， 我 们 来 看 看 下 图 中 所 示 的 R1 路 由 表 。 


1.1,1.0/24 22.2.0/24 3.3.3,0/24 


图 2.2.23 方便 了 解 路 由 表 的 通信 结构 示例 


这 里 我 们 使 用 的 是 思科 路 由 器 。 思 科 路 由 器 可 通过 命令 show ip route 查询 路 由 
， 2.2.24) 。 各 网 络 代表 目的 网 段 ，via 后 面 的 卫 地址 就 是 下 一 跳 的 IP 
+ [e] 


路 由 的 学 目的 网 自 AD 箱 / 下 一 由 接 0 人 D 
习 广 法 度量 值 


图 2.2.24 了 解 路 由 表 的 构造 


顺带 也 介绍 一 下 其 他 几 个 要 素 。 最 前 面 的 1 一 2 个 字母 表示 路 由 的 学 习 方 法 ，C 
代表 直 连 ，OO 代表 已 经 通过 动态 路 由 选择 OSPF 学 习 过 ，110/2 分 别 代 表 AD 

(管理 距离 ) 值 和 度量 值 ， 这 几 个 将 在 下 一 节 中 详细 说 明 。 最 后 还 有 一 个 接口 
ID， 它 表示 下 一 跳 位 于 哪个 接口 。 


MAC 地 址 和 IP 地 址 是 彼此 协作 、 共 同 发 挥 作 用 的 


MAC 地 址 和 IP 地 址 通过 ARP 彼此 协作 、 共 同 发 挥 作 用 。MAC 地 址 是 物理 地 
址 ， 仅 在 同一 网 段 中 有 效 ， 因 此 ， 每 当 需 要 跨越 网 段 一 -也 就 是 需要 跨越 路 由 
器 时 一 ”都 必须 更 换 MAC 地 址 才 行 ，ARP 能 解决 这 个 目的 MAC 地 址 的 更 换 问 
题 。 与 此 相对 ，IP 地 址 是 逻辑 地 址 ， 能 够 跨 网 段 使 用 ， 因 此 ， 从 源 节 点 到 目的 
节点 始终 保持 不 变 。 


下 图 展示 了 这 两 个 地 址 是 如 何 彼 此 协作 、 共 同 发 挥 作用 的 。 为 了 帮助 大 家 理 
解 ， 图 中 添加 了 目的 / 源 MAC 地 址 。 


通过 ARP 解 决 默认 网 甘 通过 ARP 儿 次 下 一 距 租 过 AHP 绑 夹 自 的 蔬 杰 
(多 ) 的 MAC 问 是 《全 1 的 MAG 问 到 1 同 ) 的 MAC 问 时 
EU 

| 机 Ip:@ = P- 人 


图 2.2.25 ”每 路 一 个 网 段 MAC 地 址 就 要 变换 一 次 

2.2.2.2 ”建立 路 由 表 

路 由 表决 定 着 路 由 选择 ， 而 如 何 建立 这 个 路 由 表 就 是 网 络 层 的 关键 所 在 。 下 面 
本 书 将 为 你 介绍 一 些 入 门 级 别 的 内 容 。 

路 由 表 有 两 种 建立 方式 ， 一 种 是 静态 路 由 选择 ， 另 一 种 是 动态 路 由 选择 。 
静态 路 由 选择 


静态 路 由 选择 是 手动 建立 路 由 表 的 方式 ， 需 要 我 们 一 个 个 地 去 设置 目的 网 段 和 
下 一 跳 。 这 种 方式 容易 理解 也 便于 管理 ， 所 以 比较 适合 小 规模 的 网 络 环境 ， 但 
人 要 隶 一 手动 设置 所 有 路 由 器 的 目的 网 段 ， 所 以 并 不 适合 大 规模 的 网 络 环 


兄 


以 下 图 中 的 结构 为 例 ， 在 这 种 结构 中 ， 我 们 需要 通过 静态 选 路 方式 对 R1 和 R2 
分 别 设置 路 由 3.3.3.0/24 和 1.1.1.2/24。 如 果 使 用 的 是 思科 路 由 器 ， 用 命令 ip 


route <network> <subnetmask> <next hop> 即 可 实现 静态 路 由 设置 。 
动态 路 由 选择 


动态 路 由 选择 是 相 邻 的 路 由 器 彼此 交换 路 由 信息 ， 自 动 建立 路 由 表 的 方式 。 交 
换 路 由 信息 的 协议 叫 作 路 由 协议 。 如 果 是 网 络 环境 规模 较 大 或 者 环境 结构 容易 
发 生变 化 的 情况 ， 使 用 动态 路 由 选择 比较 合适 。 使 用 这 种 方式 ， 即 使 在 新 增 网 
段 时 也 无 需 设 置 所 有 的 路 由 器 ， 管 理 起 来 非常 轻松 。 而 且 ， 即 使 中 途 发 生 故 障 
也 能 自动 查找 迁 回路 径 ， 耐 故障 能 力 较 高 。 


不 过 ， 动 态 路 由 选择 并 不 是 万 能 的 。 经 验 不 足 的 管理 人 员 在 匆忙 随意 的 设置 中 
一 旦 出 错 ， 影 响 就 会 波及 整个 网 络 ， 造 成 不 可 收拾 的 后 果 。 为 了 避免 出 现 这 样 
的 局 面 ， 动 手 设置 之 前 我 们 一 定 要 认真 仔细 地 做 好 设计 。 


下 面 ， 同 样 还 是 针对 前 面 那个 网 络 构造 ， 我 们 来 看 看 动态 路 由 选择 是 如 何 运作 
人 


11,1.0/24 222024 3.3.3024 


{proue333026626525502222 | {iproua111025525625502221 | 
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图 2.2.27 相 邻 设备 彼此 交换 路 由 信息 ， 自 动 建立 路 由 表 


假设 我 们 要 在 这 个 环境 中 增加 新 的 网 段 。 新 的 路 由 器 一 来 ， 现 有 路 由 器 就 会 和 
新 路 由 器 交换 彼此 的 路 由 信息 ， 路 由 表 获 得 全 面 更 新 (自动 完成 ) 。 采 用 动态 
路 由 选择 方式 时 ， 路 由 器 的 设置 将 全 部 由 路 由 协议 代劳 ， 我 们 无 需 逐 一 手动 设 
置 。 了 网络 上 的 路 由 器 能 够 识别 出 所 有 路 径 的 状态 叫 作 收敛 状态 ， 为 达到 收敛 状 
态 所 需 的 时 间 叫 作 收 敛 时 间 。 
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图 2.2.28 ”动态 路 由 选择 让 网 段 的 增加 变 得 轻松 简单 


动态 路 由 选择 还 有 一 个 优点 ， 那 就 是 路 由 协议 的 耐 故 障 能 力 较 高 。 假 设 有 多 条 
路 径 可 以 抵达 目的 地 址 ， 其 中 某 条 路 径 发 生 了 故障 。 这 时 候 ， 动 态 路 由 选择 能 
够 自动 更 新 路 由 表 ， 让 路 由 器 互相 通知 路 由 表 的 更 新 情况 ， 确 保 新 的 路 径 畅 通 
无 阻 ， 这 样 我 们 就 无 需 特意 去 设置 迁 回路 径 了 。 


图 2.2.29 正常 情况 下 选用 最 佳 路 径 


更 新 小 由 炎 


PR3 


ni i 
和 
图 2.2.30 “即使 发 生 故 障 也 能 确保 迁 回路 径 畅通 无 阻 
有 两 种 路 由 协议 


路 由 协议 可 根据 控制 范围 分 为 IGP (Interior Gateway Protocol， 内 部 网 关 协 议 ) 
和 EGP (Exterior Gateway Protocol， 外 部 网 关 协 议 ) 两 种 。 


将 这 两 者 区 别 开 的 概念 叫 作 AS (Autonomous System， 自 治 系 统 ) ，AS 是 指 在 
一 个 基本 规则 下 管理 的 网 络 群 组 。 听 起 来 也 许 有 点 高 深 ,但 我 们 不 必 想 得 太 复 
杂 ， 将 它 理解 为 组 织 (ISP、 人 企业、 研究 机 构 、 网 点 ) 即 可 。IGP 是 控制 As 内 
部 的 路 由 协议 ，EGP 则 是 控制 AS 之 间 的 路 由 协议 。 一 般 说 来 ，IGP 使 用 
RIPvV2、OSPF 和 EIGRP，EGP 则 使 用 BGP 。 
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图 2.2.31 根据 控制 范围 可 将 路 由 协议 分 成 两 种 
IGP 的 两 个 要 点 是 路 由 算法 和 度量 值 


IGP 是 用 于 AS 内 部 的 路 由 协议 ， 种 类 繁多 ， 不 过 基本 上 我 们 可 以 认为 当前 网 络 
环境 中 使 用 的 协议 是 RIPV2 (Routing Information Protocol version2， 路 由 信息 协 
议 第 二 版 ) 、OSPF (Open Shortest Path Fase， 开 放 式 最 短路 4 和 双 优 先 ) 和 EIGRP 
(Enhanced Interior Gateway Routing Protocol， 加 强 型 内 部 网 关 路 由 协议 ) 这 三 
者 当中 的 一 个 。 在 介绍 它们 时 必须 提 到 两 个 要 点 一 一 路 由 算法 和 度量 值 。 


。 路 由 算法 


路 由 算法 表示 如 何 建立 路 由 表 。 路 由 算法 不 同 将 直接 影响 到 收敛 时 间 和 适 


IGP 有 两 种 路 由 算法 ， 一 种 是 距离 癌 量 型 ， 另 一 种 是 链 路 


距离 问 量 型 算法 根据 距离 和 方 同 计算 路 由 ， 这 里 所 说 的 距离 是 指 抵达 目的 
网 段 所 经 过 的 路 由 咯 台 数 《跳跃 计数 ) ， 而 方向 是 指 输出 接口 。 经 过 多 少 
台 路 由 器 才能 抵达 昌 的 网 段 就 是 最 佳 路 径 的 判断 标准 。 路 由 器 彼此 交换 各 
目的 路 由 表 信 息 ， 以 此 来 建立 路 由 表 。 


链 路 状态 型 算法 根据 链 路 的 状态 计算 最 佳 路 径 ， 路 由 器 彼此 交换 各 自 的 链 
路 (接口) 状态 、 带 宽 和 了 IP 地 址 等 信息 并 建立 起 数据 库 ， 然 后 根据 这 些 信 
息 去 建立 路 由 表 。 
。 度量 值 

度量 值 表示 到 目的 网 段 的 距离 ， 这 里 所 说 的 距离 并 非 物 理 上 距离 ， 而 是 指 逻 
辑 距 离 。 比 如 ， 我 们 和 地 球 另 一 边 进 行 通信 时 ， 度 量 值 并 不 一 定 就 很 大 。 

路 由 协议 不 同 ， 逻 辑 距 离 的 计算 方法 也 就 多 种 多 样 。 

IGP 中 的 RIPvV2、OSPF 和 EIGRP 都 要 掌握 


前 面 说 过 ， 当 前 网 络 环境 中 使 用 的 路 由 协议 无 非 是 RIPv2、OSPF、EIGRP 当中 
yn 笔者 尚未 听 说 除了 这 三 者 之 外 还 有 什么 新 的 路 由 协议 ， 可 以 说 它们 
盖 了 IGP 的 全 部 。 下 面 就 结合 路 由 算法 和 度量 值 分 别 说 明 一 下 这 三 个 协议 。 


表 2.2.6 掌握 好 RIPvV2、OSPF 和 EIGRP，IGP 就 没 问题 了 


细 分 项 目 RIPv2 OSPF EIGRP 


ee E 离 向 量 型 
链 路 状态 下 


224.0.0.5 (都 是 OSPF 路 由 器 ) 
更 新 时 使 用 的 多 播 地 址 。 | 224.0.0.9 224.0.0.6 (都 是 DR 路 由 器 ) 
适用 的 网 络 规模 小 规模 到 大 规模 1 到 大 规模 


。 RIPV2 


RIPv2 是 距离 向 量 型 的 路 由 协议 。 这 个 协议 最 近 已 经 很 少见 到 了 ， 但 它 依然 
存在 于 一 些 旧 的 环境 ， 由 它 过 渡 到 OSPF 或 EIGRP 也 是 常 有 的 事 。 不 过 ， 

现在 新 建 网 络 环境 时 选用 RIPv2 应 该 是 不 大 可 能 的 。RIPv2 通过 彼此 定期 交 
换 路 由 信息 的 方式 建立 路 由 表 ， 原 理 很 好 理解 。 然 而 随 着 路 由 表 条 目的 增 

0 

XX| \ 境 。 


RIPv2 采用 跳跃 计数 作为 度量 值 ， 跳 路 计数 表示 要 经 过 多 少 台 路 由 器 才能 抵 
达 目 的 网 段 ， 经 过 的 路 由 器 越 多 距离 就 越 远 。 这 个 协议 的 原理 也 非常 简单 

易 仅 ， 但 是 它 缺 点 很 多 ， 例 如 它 会 不 顾 带 宽 的 实际 情况 来 判断 最 佳 路 径 。 

也 就 是 说 ， 即 使 有 的 路 径 带 宽 较 小 ， 该 协议 也 会 将 跳跃 计数 最 小 的 路 径 当 

成 最 佳 路 径 。RIP 中 当然 也 有 更 古老 的 RIPvl 版 本 ， 不 过 v1 只 能 用 于 分 级 
地 址 ， 现 在 已 经 完全 看 不 到 了 。 


定期 更 新 有 变化 就 更 新 有 变化 就 更 新 
可 站 井 


图 2.2.32 RIP 根据 跳跃 计数 决定 路 径 


。 OSPF 


OSPF 是 链 路 状态 型 的 路 由 协议 。 它 是 一 种 标准 化 了 的 路 由 协议 ， 常 常用 于 
多 厂商 的 网 络 环 境 。OSPF 下 的 路 由 器 彼此 交换 各 自 的 链 路 状态 、 带 宽 、IP 
地 址 和 网 段 等 信息 ， 建 立 链 路 状态 数据 库 (LSDB) 并 通过 相关 数据 计算 最 
佳 路 由 ， 然 后 建立 起 路 由 表 。RIPv2 是 彼此 定期 交换 路 由 表 人 信息， 而 OSPF 
则 只 在 发 生变 化 时 才 去 更 新 信息 。 除 此 之 外 ，OSPF 在 正常 情况 下 只 发 送 
个 Hello 小 数据 包 ， 用 来 检查 对 方 是 否 处 于 正常 运作 状态 ， 因 此 不 会 过 度 占 
用 带宽 。OSPF 中 有 一 个 重要 的 概念 叫 作 区 域 。 为 了 防止 汇集 了 各 种 信息 的 
LSDB 因 信 息 过 多 而 腕 肿 膨胀， 网 络 被 分 成 了 好 几 个 区 域 ， 只 有 同一 区 域 中 
的 路 由 器 能 够 共享 LSDB。 


OSPF 采用 开销 作为 度量 值 。 开 销 在 默认 情况 下 使 用 “100/ 带宽 Mbit/s” 的 公 
式 来 计算 。 带 宽 越 大 开销 就 越 小 ， 每 跨 一 个 路 由 器 就 会 多 算 一 个 输出 接 
口 。 因 此， 路 由 顺 的 带宽 越 大 就 越 容 易 成 为 最 佳 路 径 。 如 果 学 习 的 路 径 完 


全 相同 ， 则 选用 开销 相同 的 所 有 路 径 去 传输 数据 包 以 分 散 负 荷 ， 这 种 情况 
叫 作 等 价 多 路 径 。 


在 滚 区 域 上 共享 
无 集 状 各 称 网 洛 
2 一 信息 的 ESD5 
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焉 荐 情况 下 通过 Hallo 
进行 死活 监 炙 


图 2.2.33” ”OSPF 根据 开销 决定 路 径 
EIGRP 


EIGRP 是 距离 向 量 型 路 由 协议 的 加 强 版 ， 是 思科 公司 特有 的 一 个 路 由 协 
议 ， 只 能 在 由 思科 路 由 器 和 Catalyst 交换 机 构成 的 网 络 环境 中 使 用 。 只 要 具 
备 相 应 的 环境 ， 该 协议 就 能 发 挥 巨 大 作用 。EIGRP 结合 了 RIPv2 和 OSPF 
各 自 的 优点 。 它 先是 交换 彼此 的 路 由 信息 ， 各 自 建立 拓扑 表 ， 然 后 从 中 抽 
取 最 佳 路 径 的 信息 建立 起 路 由 表 。 这 部 分 和 RIPv2 有 点 相似 ， 不 过 EIGRP 
只 在 发 生变 化 时 才 去 更 新 路 由 表 。 此 外 ，EIGRP 在 正常 情况 下 只 会 发 送 一 
0 
OSPF 相似 。 


EIGRP 默认 采用 带宽 和 延 时 作为 度量 值 。 带 宽 用 “10000/ 最 小 带宽 

(Mbit/s) ”的 公式 计算 ， 最 小 带宽 为 通 往 目 的 网 段 的 路 径 中 带宽 的 最 小 
值 。 延 时 用 “ 微 秒 /10” 的 公式 计算 ， 每 跨 一 个 路 由 器 就 会 多 算 一 个 输出 接 
口 。 将 这 两 个 数字 的 和 乘 以 256 得 出 的 数值 就 是 EIGRP 的 度量 值 。EIGRP 
的 默认 设置 也 是 等 价 多 路 径 。 如 果 几 个 路 径 的 度量 值 完全 相同 ， 则 选中 所 
有 这 些 路 径 去 传输 数据 包 ， 进 行 负载 均衡 。 


EGP 中 只 需 掌 握 BGP 即 可 


EGP 是 用 于 AS 之 间 的 路 由 协议 *。 前 面 讲 过 IGP 有 三 种 类 型 ，EGP 却 只 
BGP (Border Gateway Protocol， 边 界 网 关 协 议 ) 这 一 种 类 型 ， 所 以 架构 服务 器 
端 时 做 好 BGP 即 可 。 在 介绍 BGP 时 必须 提 到 两 个 要 点 ， 那 就 是 路 由 算法 和 最 
佳 路 由 选择 算法 。 


| BGP 也 可 用 于 AS 内 部 ， 用 于 AS 内 部 的 BGP 叫 作 iBGP， 用 于 AS 之 间 的 BGP 叫 作 eBGP。 


BGP 是 路 径 向 量 型 协议 ， 根 据 路 径 和 方向 计算 路 由 。 这 里 所 说 的 路 径 表示 抵达 
目的 网 段 所 经 过 的 AS 数 ， 方 向 则 表示 BGP 对 等 体 。 经 过 多 少 AS 才能 抵达 目 
的 网 段 是 最 佳 路 径 的 判断 标准 之 一 ，BGP 对 等 体 指 的 是 和 本 机 交换 路 径 信 息 的 
对 象 。BGP 指定 了 对 等 体 后 ， 建 立 一 对 一 的 TCP 连接 并 在 其 中 交换 路 径 信息 。 
和 BGP 对 等 体 交 换 路 由 信息 之 后 建立 BGP 表 ， 根 据 一 定 的 规则 〈 最 佳 路 由 选 
择 算法 ) 选择 最 佳 路 径 。 接 下 来 ， 只 把 最 佳 路 径 添加 到 路 由 表 中 去 ， 同 时 传播 
给 BGP 对 等 体 。BGP 和 OSPF、EIGRP 一 样 ， 仅 在 发 生变 化 时 才 去 更 新 路 由 表 
(通过 UPDATE 消息 更 新 ) 。 另 外 ， 它 在 正常 情况 下 通过 KEEPALIVE 消息 判 
断 对 方 是 否 处 于 正常 运作 状态 。 
在 网 自 A 看 来 ,这 是 通 向 岗 段 B 的 代替 此 径 | 
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图 2.2.34 EIGRP 根据 带宽 和 延 时 决定 路 径 
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图 2.2.35 ”BGP 默认 根据 经 过 的 AS 数量 决定 路 径 


最 佳 路 由 选择 算法 是 一 种 规则 ， 用 来 判断 哪 条 路 径 是 最 佳 路 径 。 互 联网 通过 
BGP 将 全 世界 所 有 的 AS 连接 成 网 状 ， 这 样 的 范围 必然 会 牵涉 到 国家 、 政 治 和 
金钱 。 为 了 灵活 应 对 各 种 情况 ，BGP 中 配置 了 多 种 路 由 控制 功能 。BGP 的 路 由 
控制 是 通过 属性 来 实现 的 。UPDATE 消息 中 含有 NEXT_HOP、LOCAL_PREF 
等 各 种 属性 ， 这 些 属性 都 会 写 入 BGP 表 。 然 后 ， 根 据 最 佳 路 由 选择 算法 选 出 最 
佳 路 径 。 如 下 图 2.2.36 所 示 ， 按 从 上 至 下 的 顺序 进行 比较 和 淘汰 ， 一旦 出 局 就 
J °。 最后， 将 选 出 的 最 住 路 径 添 加 到 路 由 表 中 去 ， 同 时 传播 给 BGP 对 等 
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对 对 其 亿 AS 指 定 入 口 路 由 器 时 ， 事 腊 
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在 通过 间 GP 学 到 的 路 径 和 通过 eBGP 学 到 的 路 径 文 间 ， 兰 选 后 害 


首选 对 NEXT_HOP 拥有 最 小 度量 值 的 路 径 


旭 早 都 录 eBGP， 普 选 先 学 到 的 路 径 
普选 路 由 器 ID 最 小 的 路 由 器 发 布 的 路 径 


图 2.2.36 根据 最 佳 路 由 选择 算法 不 断 进行 优胜 劣 汰 


BGP 路 由 器 本 BGP 路 由 器 


选 出 最 佳 路 径 UPDATE 
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图 2.2.37 从 BGP 表 中 选择 最 佳 路 径 
“再 发 布 ?让 我 们 能 够 同时 使 用 多 种 路 由 协议 


前 面 对 RIPV2、OSPF、EIGRP 和 BGP 一 一 作 了 说 明 。 这 四 种 协议 各 自 使 用 不 同 
的 路 由 算法 和 度量 值 ， 处 理 过 程 也 各 不 相同 ， 不 能 互相 兼容 。 那 么 ， 架 构 网 络 
时 使 用 一 个 统一 的 路 由 协议 ， 整 体 上 也 比较 清晰 则 不 是 更 好 ? 然而 现实 却 没 有 
那么 简单 。 公司 可 能 会 合并 或 分 化 ， 现 有 设备 可 能 并 不 支持 指定 的 路 由 协议 ， 
各 种 特殊 情况 夹杂 交织 ， 常 常 使 我 们 不 得 不 同时 使 用 多 种 路 由 协议 。 这 时 候 ， 
我 们 需要 将 它们 转换 一 下 形式 ， 使 它们 能 够 彼此 协作 。 这 个 转换 作业 叫 作 再 发 
布 ， 也 有 人 称 之 为 重 分 发 (Redistribution) ， 叫 法 和 写法 因 人 而 异 ， 但 都 是 同一 
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图 2.2.38 ”再 发 布 使 多 种 路 由 协议 能 够 同时 使 用 


再 发 布 需要 在 边界 路 由 器 中 设置 。 边 界 路 由 器 是 连接 不 同 路 由 协议 的 路 由 器 
人 需要 转换 的 路 由 条 目 ， 将 其 转换 之 
给 对 等 体 。 


2.2.2.3 ”整理 路 由 表 


er 接 下 来 我 们 看 看 建 好 之 后 的 路 由 表 。 建 好 之 
后 的 路 由 表 有 三 个 要 点 ， 分 别 为 最 长 匹配 原则 、 路 由 汇总 和 AD 值 。 


优先 选择 更 加 细 长 的 路 径 (最 长 匹配 原则 ) 


最 长 匹配 原则 征 关 于 路 由 表 中 路 由 匹配 的 一 条 规则 ， 即 当 有 多 条 符合 目的 下 地 
址 条 件 的 路 径 存 在 时 ， 它 会 选择 子 网 掩 码 最 长 的 那 条 路 径 。 我 们 知道 ， 路 由 器 
收 到 IP 数据 包 之 后 会 云 表 看 收据 包 用 目的 IP 地 址 。 在 最 长 匹配 原则 下 ， 路 由 着 
对 IP 地 址 的 查看 会 精确 到 路 径 条 目 以 此 来 选 出 最 符合 条 件 的 
路 径 ， 也 就 是 子 网 扼 码 最 长 的 那 条 路 径 然后 将 数据 包 转 发 给 下 一 跳 。 
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图 2.2.39 ”路 由 器 对 子 网 掩 码 的 查看 精确 到 位 ， 以 此 来 选 出 最 符合 条 件 的 路 径 


我 们 以 实际 的 网 络 环境 为 例 来 考查 一 下 。 假 设 某 路 由 器 拥有 三 条 路 径 ， 分 别 是 
192.168.0.0/16、192.168.1.0/24 和 192.168.1.0/26， 而 这 人 台 路 由 器 收 到 了 一 个 目的 
IP 地 址 为 192.168.1.1 的 卫 数据 包 ， 于 是 每 条 路 径 都 符合 192.168.1.1 这 个 条 件 ， 
这 时 候 就 可 以 用 到 最 长 匹配 原则 。 路 由 器 会 选择 子 网 掩 人 码 最 长 的 路 径 
192.168.1.0/26， 将 数据 包 转 发 给 1.1.1.3。 


凤 在 穴 合 第 件 的 所 有 小 径 中 途 择 本 长 的 剖 一 条 
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图 2.2.40 ”选择 子 网 掩 码 最 长 的 条 目 
“路 由 汇总 ”将 多 条 路 径 汇集 起 来 


将 多 条 路 径 汇 集 起 来 的 做 法 叫 作 路 由 汇总 。 路 由 器 收 到 IP 数据 包 后 会 对 路 由 表 
逐条 查询 ， 随 着 条 目的 增多 ， 作 业 负 舍 会 越 来 越 大 ， 这 是 一 个 足以 致命 的 弱 
点 。 为 了 提高 使 用 效率 ， 现 代 网 络 大 都 采用 通过 无 分 类 编 址 划分 子 网 的 结构 ， 
而 子 网 划分 又 意味 着 作业 负荷 将 会 随 着 路 径 的 增加 而 增加 。 路 由 汇总 就 是 在 这 
样 的 背景 下 出 现 的 ， 它 将 下 一 跳 相 同 的 所 有 路 径 汇集 起 来 以 减少 路 径 的 数量 ， 
进而 减少 路 由 器 的 作业 人 负 奏 。 

路 由 汇总 的 方法 非常 简单 。 它 将 下 一 跳 相 同 的 所 有 路 径 的 网 络 地 址 转换 成 位 ， 
再 将 共同 的 位 转移 到 子 网 掩 码 中 去 。 举 个 例子 ， 假 设 某 台 路 由 器 拥有 表 2.2.7 中 
所 示 的 几 条 路 径 ， 在 这 种 状态 (路 由 汇总 前 下 收 到 IP 数据 包 的 话 ， 路 由 器 至 
少 要 对 路 由 表 查 询 四 次 。 


表 2.2.7 路 由 汇总 之 前 的 路 径 


192.168.0.0/24 


192.168.1.0/24 


192.168.2.0/24 


192.168.3.0/24 


我 们 来 对 表 内 的 路 径 作 一 下 路 由 汇总 。 表 2.2.7 中 的 目的 网 段 转换 成 位 之 后 的 结 
果 如 图 2.2.41 所 示 ， 前 22 位 的 位 数组 都 是 一 样 的 ， 因 此 可 以 把 它们 汇总 到 
192.168.0.0/22 中 去 。 这 样 ， 当 路 由 器 收 到 IP 数据 包 时 只 需 查 询 一 次 路 由 表 就 可 
以 了 。 也 许 你 会 觉得 不 过 是 把 四 次 降 到 了 一 次 而 已 ， 没 什么 大 不 了 的 ， 但 是 积 
0 
令 八 中 于 。 


于 部 之 前 的 小 贞 表 


| 下 - 吉 
[folololololo| Dollollololol [olololololojolo 192.168.0.0/24 
# i § 


| 
LeleleTolols] [IIS [aoTolalalsjoD 
TToloTololsls] CloTrlol ToTols]) [ololoToTolol To) 
: ! 日 和 
[TaTaTaToTaTa] [SIToTTToT5To] [ToToToTofolT 


汇总 之 后 的 路 启 表 | : | 
yr 罗网 四 K :L920op2 | May | 


日 日 日 日 i 


: i : E 1 
斑 : E 3 和 滞 下 尖 i 
tT 和 旺旺 3 I 3 CE I 


图 2.2.41 通过 共同 的 位 实现 路 由 汇总 


路 由 汇总 的 最 高 形式 是 默认 路 由 。 默 认 路 由 将 所 有 路 径 汇 总 成 一 条 ， 如 果 没 有 
符合 目的 卫 地 址 的 条 目 ， 路 由 器 就 会 将 数据 包 发 送 给 默认 路 由 的 下 一 跳 ， 也 就 
是 默认 网 关 。 默 认 路 由 的 路 由 条 目 比 较 特 殊 ， 是 0.0.0.0/0 。 


大 家 给 PC 设置 IP 地 址 时 ， 应 该 也 会 顺便 设置 默认 网 关 吧 。 当 PC 访问 非 本 机 所 
属 的 网 段 时 会 去 查看 本 机 中 的 路 由 表 ” ， 由 于 无 法 在 任何 条 目 中 查 到 目的 了 地 
址 ， 歼 会 将 数据 包 发 送 给 默认 网 关 。 


查看 路 由 表 ，Linux 则 是 用 route 命令 


3 PC 和 服务 器 也 都 有 自己 的 路 由 表 。Windows 可 用 route print 命令 
查看 。 


如 果 目 的 网 段 相 同 ， 那 就 要 看 AD 值 的 比较 结果 了 ! 


AD (Administrative Distance， 管 理 距离 ) 值 类 似 于 针对 每 个 路 由 协议 制定 的 优 
先 等 级 ， 值 越 小 优先 的 等 级 就 越 高 。 

通过 不 同 路 由 协议 或 静态 路 由 选择 学 到 的 完全 相同 的 路 径 ， 是 无 法 用 最 长 匹配 
原则 去 判断 和 选择 的 ， 遇 到 这 种 情况 时 我 们 就 要 用 到 AD 值 。 路 由 器 会 比较 这 
些 路 由 协议 的 AD 值 ， 从 中 选 出 AD 值 更 小 的 ， 也 就 是 优先 等 级 更 高 的 路 径 并 
将 其 写 入 路 由 表 ， 发 送 时 也 会 优先 采用 该 路 径 。 
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图 2.2.42 只 有 AD 值 更 小 的 路 径 才 会 被 写 入 路 由 表 


每 台 机 顺 都 拥有 目 己 的 AD 值 。 思 科 机 器 的 AD 默认 信 如 下 表 所 示 ， 除 二 连 协 

A 0 0 
| “这 是 一 种 路 由 备份 的 办 法 ， 只 有 当 无 法 通过 路 由 协议 学 习 路 径 信息 时 才 会 使 用 静态 路 由 。 设 置 时 提高 
| 静态 路 由 的 AD 值 即 可 实现 该 方法 。 


表 2.2.8 AD 值 越 小 ， 该 路 径 越 能 被 优先 选择 
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2.2.3 ”转换 IP 地 址 


转换 数据 包 IP 地 址 的 技术 叫 作 NAT (Network Address Translation， 网 络 地 址 转 
换 ) 。 使 用 NAT 可 以 节省 IP 地 址 ， 使 拥有 同一 网 络 地 址 的 系统 之 间 互 通信 息 
解决 隐藏 在 卫 环境 中 的 若干 问题 。 


2.2.3.1 转换 IP 地 址 


NAT 有 广义 和 狭义 之 分 。 广 义 的 NAT 指 转换 IP 地 址 的 整套 技术 ， 所 指 范围 太 
广 ， 不 太 好 理解 。 这 里 ， 我 们 只 介绍 三 种 人 们 常用 的 NAT， 它 们 分 别 是 静态 
NAT、NAPT (Network Address Port Translation， 网 络 地 址 端口 转换 ) 和 Twice 
NAT (双重 NAT) 。 


双向 NAT 
[ TWwo-Wway NAT 


Bi-directional NAT ) 


图 2.2.43 广义 的 NAT 和 狭义 的 NAT 
静态 NAT 可 将 IP 地 址 一 对 一 关联 


静态 NAT 可 以 对 内 网 和 外 网 的 IP 地 址 进行 一 对 一 的 映射 和 转换 ， 又 称 一 对 一 
NAT。 狭 义 的 NAT 指 的 就 是 静态 NAT 。 


由 内 网 访问 外 网 时 ， 静 态 NAT 会 转换 源 IP 地 址 ， 此 时 是 将 源 IP 地 址 转换 成 相 
应 的 卫 地 址 。 相反， 由 外 网 访问 内 网 时 ， 静 态 NAT 转换 目的 IP 地 址 ， 此 时 是 
将 目的 卫 地 址 转换 成 相应 的 IP 地址。 在 服务 器 端 我 们 有 了 时候 会 遇 到 这 样 的 情 
况 ， 某 客户 端 一 定 要 以 某 个 指定 的 卫 地 址 出 现在 互联 网 上 ， 或 者 某 台 服务 器 一 
定 要 以 某 个 指定 的 卫 地 址 在 互联 网 上 公开 ， 这 时 候 我 们 就 要 用 到 静态 NAT 了 。 
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图 2.2.44 ”一 对 一 地 关联 起 来 
NAPT 能 够 有 效 地 利用 IP 地 址 


NAPT 可 以 对 内 网 和 外 网 的 IP 地址 进行 多 对 一 的 映射 和 转换 ， 又 称 IP 伪装 或 
PAT (Port Address Translation， 端 口 地 址 转换 ) ， 叫 法 不 同 ， 但 意思 都 一 样 。 


由 内 网 访问 外 网 时 ，NAPT 会 将 源 卫 地 址 和 源 端 口号 一 起 转换 。 因 为 是 根据 客 
户 端 和 端口 号 的 对 应 关系 (哪个 客户 端 使 用 哪个 端口 号 ) 来 分 配 数据 包 的 ， 所 
以 能 实现 多 对 一 的 转换 。 


我 们 在 家 里 经 常 使 用 的 宽带 路 由 就 是 通过 NAPT 将 客户 端 和 互联 网 连接 到 一 起 
的 。 最 近 不 仅仅 是 PC， 连 智能 手机 、 平 板 计算 机 和 家 电 产 品 等 也 都 开始 拥有 目 
己 的 IP 地址 了 。 如 果 要 为 这 些 设备 一 一 分 配 具 有 全 球 唯 一 性 的 IP 地址 ， 地 址 资 
源 很 快 就 会 告 项 。 所 以 我 们 要 使 用 NAPT， 尺 量 节 省 全 球 IP 地 址 资源 。 


在 服务 右 端 ， 由 内 网 访问 外 网 的 通信 大 多 部会 使 用 NAPT。 


图 2.2.45 “通过 多 对 一 的 连接 形式 节省 IP 地 址 资源 
Twice NAT 使 地 址 范围 重复 的 网 段 之 间 得 以 通信 


静态 NAT 和 NAPT 只 是 转换 源 或 目的 地 址 中 的 其 中 一 方 而 已 ， 双 重 NAT 则 是 
将 源 和 日 的 地 址 一 起 转换 。 当 我 们 需要 连接 某 个 网 段 ， 而 该 网 段 的 地 址 范围 和 
我 们 本 身 有 重复 情况 的 时 候 ， 例 如 公司 合并 或 是 己方 公司 要 和 其 他 公司 系统 联 
网 时 ， 就 要 用 到 双重 NAT。 


这 里 ， 我 们 来 看 图 说 话 、 依 次 讲解 。 假 设 系统 A 中 有 一 台 服 务 器 A， 系 统 B 中 
有 一 台 服 务 器 C， 服 务 器 C 里 有 着 和 服务 器 A 相同 的 地 址 范围 ， 而 服务 器 A 想 
要 访问 服务 器 C (如 图 2.2.46) 。 
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图 2.2.46 ”双重 NAT 使 地 址 范围 重复 的 网 段 之 间 得 以 通信 


1 ”服务 器 A (192.168.1.1) 要 访问 系统 A 路 由 器 中 所 设 的 IP 地 址 
(192.168.1.3) ， 该 IP 地址 用 于 NAT。 


2 一 系统 A 的 路 由 器 将 源 卫 地 址 转换 为 1.1.1.1， 将 目的 IP 地 址 转换 为 
1.1.1.3， 然 后 将 信息 发 至 系统 B 的 路 由 器 。 


3 一 系统 B 的 路 由 器 将 源 卫 地 址 转换 为 192.168.1.1， 将 目的 卫 地址 转换 为 
192.168.1.3， 然 后 将 信息 发 至 服务 器 C。 


NAT 表 和 代理 ARP 是 支持 NAT 的 两 大 要 素 


F 面 介绍 了 各 种 类 型 的 NAT 。 支 持 NAT 的 两 大 要 素 是 NAT 表 和 代理 ARP， 下 
面 我 们 来 分 别 了 解 一 下 。 


我 们 先 来 看 NAT 表 。NAT 表 中 记录 着 转换 之 前 和 转换 之 后 的 IP 地 址 或 端口 

号 。 它 的 原理 十 分 简单 ， 收 到 需要 进行 转换 处 理 的 数据 包 后 将 数据 包 的 卫 地 址 
或 端口 号 转换 一 下 ， 仅 此 而 已 。 如 果 是 NAPT， 那 么 NAT 表 中 就 还 需要 记录 端 
口号 信息 。NAT 表 中 记录 的 信息 会 发 生动 态 变 化 ， 因 此 ， 当 表 中 的 信息 不 再 使 
用 并 到 达 一 定 的 时 限 之 后 ，NAPT 就 会 将 其 删 掉 。 


| 192.168.1.2 


图 2.2.47 NAT 表 管 理 着 映射 信息 


接 下 来 我 们 来 看 代理 ARP。 用 于 NAT 的 IP 地 址 和 路 由 器 的 接口 IP 地 址 是 不 一 
样 的 ， 因 此 ， 对 于 前 者 发 出 的 ARP 请 求 ， 路 由 器 必须 作为 代理 给 出 回复 。 路 由 
器 以 代理 身份 作出 回复 并 接收 前 者 发 来 的 卫 数据 包 ， 然 后 根据 NAT 表 中 的 映射 
信息 进行 转换 处 理 。 


192.168.1.0/24 


1.1.1.0/24 


1.1.1.1 是 哪 位 啊 ? 


图 2.2.48 用 于 NAT 的 IP 地 址 发 来 ARP 请 求 时 ， 路 由 器 会 给 出 代理 回复 
2.2.3.2” 私 网 IP 地 址 


可 供 分 配 的 IPv4 地 址 大 约 有 43 亿 个 (232) 。 在 互联 网 初创 期 ， 人 们 相信 有 这 
么 多 的 话 肯 定 足 够 了 ， 然 而 随 着 互联 网 爆发 性 地 普及 和 发 展 ， 地 址 数量 骤然 狂 
减 ， 人 们 担心 这 样 下 去 的 话 不 久 地 址 就 会 告 蕊 ， 于 是 NAPT 应 运 而 生 了 ， 它 能 
够 更 加 有 效 地 利用 现 有 的 IP 地 址 ， 进 而 减缓 了 地 址 数量 的 剧 减 。 


使 用 NAPT 时 ， 不 管内 网 中 有 多 少 台 终 端 机 ， 最 终 出 现在 互联 网 上 的 他 地 址 始 
终 只 有 一 个 ， 只 要 保证 这 一 个 卫 地 址 在 互联 网 上 是 独一无二 的 就 可 以 了 。 这 个 
TP 地 址 叫 作 全 球 PP 地址， 由 ICANN 及 其 下 属 机 构 负责 其 管理 和 分 配 。 


那么 ， 内 网 的 卫 地 址 应 如 何 分 配 昵 ? 是 不 是 随便 分 配 一 下 就 可 以 了 呢 ? 回答 是 
否定 的 。 如 果 内 网 的 终 立 0 那么 ， 当 它 遇 到 早已 
存在 于 互联 网 并 且 拥 有 真正 全 球 IP 地 址 的 服务 器 时 ， 就 会 连接 不 上 。 为 了 避免 
这 类 情况 ， 人 们 准备 了 一 经 才 供 内 网 分 瑟 的 下 地 址 这 些 IP 地 址 叫 作 私 网 IP 
地 址 。 私 网 IP 地 址 并 不 会 出 现在 互联 网 上 上， 因此， 即使 A 公司 和 B 公司 的 私 网 
IP 地 址 重复 了 也 没有 任何 问题 。 而 且 ， 私 网 IP 地 址 在 互联 网 上 是 并 不 存在 的 。 


私 网 卫 地 址 分 成 三 类 ， 如 下 表 所 示 。 我 们 应 根据 实际 的 网 络 规 模 选 择 合 运 的 地 
址 范围 ， 进 行 合理 的 于 网 划分 


表 2.2.9 私 网 IP 地 址 共 分 三 类 


类 别 | 起 始 IP 地 址 结束 IP 地 址 子 网 掩 码 最 大 可 分 配 的 节点 数量 


10.0.0.0 10.255.255.255 255.0.0.0 16 777 214 (=224 -2) 


172.16.0.0 17231255:258 255.240.0.0 1 048 574 (=220 -2 


192.168.0.0 192.168.255.255 255.255.0.0 65 534 (=216 -2) 


状 
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司机 
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图 2.2.49 ”对 内 网 分 配 私 网 IP 地 址 
2.2.4 自动 设置 IP 地 址 的 DHCP 


下 面 介 绍 几 个 和 网 络 层 相关 的 协议 ， 首 先 我 们 来 看 DHCP (Dynamic Host 
Configuration Protocol， 动 态 主 机 配置 协议 ) 。DHCP 是 将 IP 地 址 和 默认 网 关 等 
网 络 设置 分 配给 节点 的 协议 。 该 协议 本 来 是 在 应 用 层 发 挥 作用 的 ， 但 是 由 于 它 
涉及 IP 地 址 的 设置 ， 所 以 本 书 将 它 作 为 网 络 层 的 技术 来 讲解 。DHCP 不 仅 能 使 
中 地 址 的 管理 更 加 轻松 ， 还 能 让 资源 已 经 非常 紧缺 的 卫 地 址 发挥 出 最 大 的 效 


2.2.4.1 DHCP 的 消息 部 分 中 包含 着 诸多 的 信息 


DHCP 在 被 UDP 封装 的 DHCP 消息 部 分 中 放 入 了 大 量 的 设置 信息 。 这 个 消息 
分 的 内 容 稍微 有 些 复杂 ， 其 中 最 重要 的 有 三 个 因素 ， 分 别 为 “分 配给 客户 间 so 
IP”DHCP 服务 髓 IP” 先 洗 项 ” 6 


“分 配给 客户 端的 卫 ” 中 写 入 了 服务 器 端 分 配给 终端 的 、 有待 设置 的 卫 地 

址 ，“DHCP 服务 器 IP” 中 写 入 了 DHCP 服务 器 的 IP 地 址 卫 , “选项 "中 写 入 了 消 
息 类 型 (Discover/Offer/Request/Ack) 、 子 网 掩 码 、 默认 网 关 \`DNS 服务 器 的 IP 
地 址 等 和 网 络 设置 相关 的 各 种 信息 。 


忆 如 果 使 用 DHCP 中 继 代 理 功 能 ， 则 DHCP 服务 器 的 IP 地 址 为 0.0.0.0， 这 时 候 Relay Agent IP Address 
部 分 中 将 写 入 DHCP 中 继 代理 组 件 的 IP 地 址 。 关 于 DHCP 中 继 代理 将 在 2.2.4.3 节 中 详细 说 明 。 


rt + | wpm | ms | sm || an 
代 王 Pp | “MAC 器 委 | 


ty 


1 Ethemet H, Src: cc:03:29:38;00; 二 03:29:38:00:00), Dr: Brovdrast (fF: 和 :和 :f: 玫 : 玫 ) 
9 Intemet protocol Version 4, Sre: 0.0,0.0 (0.0,0.0), Dst: 255.255;255.255 (255.255.255.255) 
9 User Dataaram Protocol. Src Port: bootoc {68), Dst Port: bootns (67) 


Message type: Boot Request (1) 
Hardware type: Erhemat 
Hardware address length: 6 
Hops: 0 
Transaction ID; 0x00246806 
Seconds elspsed: 0 二 
i Bootp flags; Dx8000 [Broadcast) 指定 分 本 的 | 她 址 : 
Chent JP sddress: : 0. .0. 0.0 (0.: 0. 0. -0) 


0. 0. 
i 0000t0000) 
Clhent MAC address: ce:03:29:38:00:00 (tc:03:29:38:00:00) 
Ciient hardware oddress padding: 00000000000000000000 
Server rame option overioaded by DHCP 
Boot file name option overlooded by DHCP 
ce PO OHOR Eanadeanvg eanpr ean intet de CR 
: (t=53,I(=1}) DHCP Message Type= DHCP Request 
: (t=57,1=2) Maxmum DHCP Message Ste = 1152 
: (t=51,1=27) Chent identifier 
: (t=54,1=4) DHCP Server 1dentifier = 192.1658.3.1 
: (t=50,|=4) Requested IP Address = 192.168,1.2 选项 部 分 中 万 售 琅 
: (t=51,I=4) IP Address Lease Time = 1 day 藉 多 的 信息 
: (t=12,l=2) Host Name = °CL” 
: (t=55,|=8) Parameter ReQquest List 
: (t=52,|=1) Option Overfoad = Boot file and server host names hold options 


TI 


Padding (128 bytes) 


:padding (64 bytes) 
End Option 
padding 


. 
EEE 


图 2.2.51 用 Wireshark 分 析 DHCP 报 文 的 画面 
2.2.4.2 ”DHCP 的 原理 非常 简单 


DHCP 的 原理 非常 简单 ， 很 好 理解 。 请 想象 一 下 这 个 场景 : 你 大 声 地 (广播 ) 

要 求 “ 请 分 一 个 IP 地 址 给 我 >， 于 是 DHCP 服务 器 回答 “这 个 给 你 ”。DHCP 就 是 

这 样 一 个 过 程 。 由 于 是 在 IP 地 址 尚未 设置 的 情况 下 通信 ， 所 以 这 里 DHCP 必须 
过 广播 来 交换 信息 。 


1 ”客户 端 发 出 一 个 叫 作 DHCP Discover 的 报 文 用 来 寻找 DHCP 服务 器 。 


2 - ”DHCP 服务 器 收 到 DHCP Discover 之 后 ， 返 回 一 个 叫 作 DHCP Offer 的 报 
文 用 来 提议 分 配 哪 个 IP 地 址 。 最 近 有 些 DHCP 服务 器 为 了 确认 提议 的 卫 地址 
尚未 用 在 别处 ， 会 在 返回 Offer 之 前 发 出 ICMP 报 文 ， 这 个 部 分 因 DHCP 服务 器 
规格 不 同 而 有 所 差异 。 


3 ~” DHCP 客户 出 收 到 DHCP Offer 之 后 返回 一 个 叫 作 DHCP Request 的 报 
文 ， 请 求 服务 器 “给 我 这 个 IP 地 址 *”。 如 果 是 从 多 台 DHCP 服务 器 收 到 多 个 
Offer， 就 会 针对 最 早 收 到 的 那个 返回 Request 。 


4 一 ”DHCP 服务 器 收 到 DHCP Request 之 后 ， 返 回 一 个 叫 作 DHCP Ack 的 报 
文 ， 将 该 他 地址 交 给 客户 端 。 


5 ”DHCP 客户 端 收 到 DHCP Ack 之 后 ， 将 之 前 收 到 的 DHCP Offer 中 提议 的 
IP 地 址 设 成 自己 的 IP 地 址 ， 并 开始 通过 该 地 址 通信 。 收 到 的 IP 地 址 中 设 有 租 
约 时 间 ， 一 百 超 这 租约 时 间 ， 客 户 端 就 会 发 出 一 个 叫 作 DHCP Release 的 报 文 ， 
解除 该 IP 地 址 并 将 其 返还 给 DHCP 服务 器 。 
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好 的 ,就 是 它 了 
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EE 
192.168.1.1 255.255.255.255 
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DHCP Ack 


那 就 交 给 你 了 


图 2.2.52 DHCP 通过 广播 来 交换 信息 
2.2.4.3 对 DHCP 报 文 作 中 继 处 理 


DHCP 通过 广播 交换 人 信息， 因此， 原则 上 客户 端 和 服务 器 必须 在 同一 VLAN 中 
才 行 。 然 而 ， 在 拥有 大 量 VLAN 的 网 络 环境 中 为 每 个 VLAN 都 安排 服务 器 是 不 
太 可 能 的 ， 这 时 候 就 要 用 到 DHCP 中 继 代理 功能 。DHCP 中 继 代理 功能 可 以 将 
通过 广播 收 到 的 DHCP 报 文 转 换 为 单 播 的 形式 ， 广 播 变 成 单 播 之 后 ， 即 使 
DHCP 服务 器 在 不 同 的 VLAN 中 也 能 够 对 IP 地 址 进行 分 配 。 而 且 ，VLAN 再 多 
也 可 以 只 通过 一 台 DHCP 服务 器 去 分 配 IP 地 址 。 


我 们 应 在 DHCP 客户 端 所 在 的 第 一 跳 〈 即 默认 网 关 的 路 由 器 ) 或 L3 交换 机 那里 
开启 DHCP 中 继 代 理 功 能 。 路 由 器 (L3 交换 机 ) 收 到 DHCP 报 文 后 ， 会 将 源 他 
ee IP 地 址 ， 将 目的 了 P 地 址 转换 为 DHCP 服务 器 的 IP 地 址 ， 进 
人 S 


EE 


窑 户 注 VLAN : ; 服务 绒 VLAN 
192.168.2.0/24 : a > ; 152.168 10/24 


图 2.2.53 ”通过 DHCP 中 继 代 理 功能 将 DHCP 报 文 发 送 到 其 他 VLAN 中 去 


2.2.5 ”用 于 故障 排除 的 ICMP 


ICMP (Internet Control Message Protocol， 互 联网 控制 报 文 协议 ) 是 用 于 确认 网 
络 层 通信 状况 的 协议 。 当 IP 方 面 发 生 故 广 或 是 数据 包 未 能 正常 送 达 目的 网 段 
时 ，ICMP 会 将 这 些 情况 传达 给 信息 发 送 方 。 从 事 基础 架构 工作 的 读者 一 定 听 说 
过 ping 这 个 词 吧 ，ping 指 的 就 是 为 发 送 ICMP 报 文 使 用 的 一 种 网 络 诊断 程序 。 


2.2.5.1 ICMP 的 关键 在 于 类 型 和 代码 


ICMP 既 不 是 TCP 也 不 是 UDP， 只 代表 着 ICMP 本 号 。 它 是 在 IP 报头 中 加 上 了 
ICMP 数据 的 卫 数据 包 ， 格 式 并 不 复杂 ， 其 中 有 两 个 关键 的 要 素 ， 分 别 是 类 型 
和 代码 。 类 型 表示 ICMP 报 文 的 类 型 ， 发 送 ping (请 求 ) 和 返回 ping (回复 ) 
时 会 使 用 不 同 的 报 文 类 型 。 代 码 分 好 几 种 类 型 ， BR te a 更 为 详尽 的 
信息 。 例 如 ， 当 返回 Destination Unreachable (类 型 3) 时， 就 是 通过 代码 告诉 
源 地 址 为 什么 数据 未 能 送 达 目的 网 段 。 


HE oN | 让 之 f 奉 | 


32 | 下 


图 2.2.54 ICMP 的 报 文 格式 


7 ICMP 114 Echo (ping) request Id=0x0002, seq=0/0, tti~255 ealiey 


9 Frame 3: 114 bytes on wire (912 bits), 114 bytes captured (912 bits) 
1 Ethemet 1, Src cc:03:29;38:00:00 (cc103;29:38:;00:00), Dst; cc:900;25:;20:00;10 (cc:00:2a:20:00:10} 
3 jnternet Protocol Version 4, Sre: 192.168.,1.2 {192.168,1.2), Dst: 192.168.1,254 (192.168,1.254) 
Verson: 4 
Header length: 20 bytes 
Differentiated Services Field: Ox00 (DSCP Ox00: Defeult; ECN: Ox00; Not-ECT (Not ECN-Capable Transport)) 
Total Length: 100 
Identification: 0x0008 (8) 
由 Flags; Ox00 
Fragment offset: 0 


Time to live: 255 上 局 协 议 为 IEMP 
四 Header RN De [corect] | 


Source: 192.168.3.2 (192.168,1.2) 
Destination: 192.168.1.254 (192.168.1.254) 


a Ech requect) a 
9 {png} neq 报 文部 


3 AN Peons 
Code: 0 


5 Ox4137% Lerect] 

Identifier (BE): 2 (0x0007 SS 适 过 好 下 个 代码 
tdentifier (LE); 512 (0x0200) 司 过 组 传达 信息 
Sequence number (BE}: 0 (Ox0000) 

Sequence number (LE): 0 (Ox0000) 


图 2.2.55 ”用 Wireshark 分 析 ICMP 报 文 的 画面 

2.2.5.2 ”常见 的 类 型 和 代码 有 四 种 组 合 

类 型 和 代码 控制 着 ICMP， 通 过 这 两 者 的 组 合 ， 我 们 可 以 大 致 了 解 IP 层面 发 生 
了 怎样 的 情况 。 二 者 的 组 合 种 类 繁多 ， 一 一 说 明 没有 多 大 意义 ， 本 书 仅 介绍 几 
种 有 代表 性 的 组 合 ， 也 就 是 典型 的 几 种 通信 类 型 。 


通信 成 功 则 显示 “Reply from 目的 IP 地 址 ” 


我 们 来 看 看 IP 层面 上 通信 成 功 的 通信 类 型 。 首 先 ， 目的 节操 发 送 
ICMP， 这 时 的 ICMP 类 型 为 Echo Request， 类 型 8/ 代码 0。 无 论 在 什么 情况 

下 ， 首 次 发 送信 息 的 ICMP 类 型 都 是 Echo Request， ee 则 目的 节点 
返回 类 型 0/ 代码 0 的 Echo Reply。 收 到 Echo Reply 后 ， 源 节点 上 会 显示 

出 “Reply from 〈 目 的 卫 地址 ) ”的 信息 。 


2220/24 


1.1.1.0/24 


图 2.2.56 ”返回 Echo Reply 表示 通信 成 功 
没有 回复 则 显示 Request Timeout 


下 面 我 们 再 来 看 看 通信 失败 时 的 通信 类 型 。 首 先 ， 源 市 点 疝 目 的 节点 发 送 Echo 
Request， 这 时 的 ICMP 类 型 为 Echo Request。 假 如 这 个 Echo Request 未 能 送 达 

目的 节点 会 怎样 呢 ? 答案 是 不 会 返回 Echo Reply， 5 返回 Echo 
Reply， 而 是 什么 都 不 会 返回 。 等 超过 时 限 之 后 ， 源 市 点 会 在 终端 上 显示 出 
Request Timeout 的 信息 。 时 限 因 OS 而 异 ，Windows 为 4 秒 ， 人 则 根本 没有 
时 限 的 设置 。 


2220/24 


超过 一 定时 骸 之 簿 


Reaquasty Timeout 


图 2.2.57 没有 回复 则 显示 Request Timeout 


查询 不 到 目的 地 址 则 显示 Destination Unreachable 


Destination Unreachable 是 类 型 为 3 的 ICMP 报 文 。 代 码 中 显示 的 值 表 示 数 据 未 
能 送 达 的 原因 。 


Destination Unreachable 也 是 一 种 表示 通信 失败 的 通信 类 型 。 首 先 ， 源 节点 向 目 

的 节点 发 送 Echo Request， 位 于 通信 途中 的 路 由 妖 会 收 到 这 个 Echo Request, 假 

如 该 路 由 器 的 路 由 表 中 得 询 不 到 通 往 目的 节点 的 路 径 ， 那 么 数据 包 就 会 被 丢 

弃 。 这 时 路 由 器 会 返回 一 个 Destination Unreachable (类 型 3) /Host Unreachable 
(代码 1) 的 ICMP 报 文 ， 表示 查询 不 到 通 往 该 目的 IP 地 址 的 路 径 。 


类 型 3 的 代码 部 分 可 能 会 写 入 好 几 种 值 。 源 节点 查看 这 里 就 能 大 致 明白 为 什么 
数据 未 能 送 达 。 


Fa0/ | 一 
a 
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图 2.2.58 ”Destination Unreachable (类 型 3) 表示 路 径 不 存在 
Redirect 将 其 他 网 关 的 IP 地 址 告诉 节点 


Redirect 是 类 型 为 5 的 ICMP 报 文 。 如 果 在 特定 的 网 络 环境 中 ， 同 一 VLAN 中 除 
了 默认 网 关 之 外 还 有 其 他 的 网 关 〈 出 口 ) ， 那 么 路 由 器 就 会 通过 Redirect 将 该 
网 关 的 卫 地 址 告诉 节点 。 


我 们 知道 ， 当 某 个 节点 和 另 一 个 位 于 其 他 VLAN 中 的 万 点 通信 时 ， 会 将 数据 包 
临时 性 地 发 送 给 默认 网 关 。 默 认 网 关 的 路 由 需 收 到 数据 包 后 会 根据 路 由 表 选 择 
路 径 ， 这 时 ， 如 果 同 一 VLAN 中 有 另 一 人 台 路 由 器 拥有 更 合理 的 路 径 ， 就 会 发 出 
一 个 Redirect (类 型 5) /Redirect Datagram for the Network (代码 0) 的 ICMP 报 
文 ， 告 诉 万 点 该 网 关 的 存在 。 节点 收 到 Redirect 报 文 后 会 在 路 由 表 中 添加 通 往 
该 网 关 的 路 径 ， 下 次 就 将 数据 包 直 接 发 往 它 的 IP 地 址 。 


: 172.16.1.0/24 


172.16.1254 


图 2.2.59 Redirect (类 型 5) 将 最 合理 的 网 关 告 诉 节点 


通过 Redirect 可 对 同一 VLAN 中 的 路 由 信息 进行 一 元 化 管理 ， 非 常 方便 。 然 
而 ， 并 非 所 有 设备 都 会 返回 Redirect， 有 些 防 火 墙 的 规格 是 不 支持 返回 Redirect 
的 。 因 此 ， 我 们 在 设计 路 由 之 前 一 定 要 了 解 相 关 设 备 的 规格 才 行 。 


2.2.5.3 ”出 现 问题 时 先 尝试 用 ping 去 排除 故障 


排除 故障 有 好 几 种 方法 ， 需 要 紧急 应 对 时 ， 最 常见 的 是 先 尝试 用 ping 去 排除 故 
障 。 首 先 我 们 应 通过 ping 确认 网 络 层 的 踢 通 情况 ， 确 认 没 有 问题 之 后 再 依次 往 
上 层 方 向 走 ， 解 决 传输 层 、 会 话 层 和 应 用 层 的 问题 。 如 果 中 通 情况 不 佳 ， 就 应 
该 依次 往 下 层 方向 走 ， 解 决 网 络 层 、 数 据 链 路 层 和 物理 层 的 问题 。 


主 上 反方 向 依次 排除 故 辞 
通过 telnat 确认 芯 通 情况 , spi 
确认 连接 表 

确认 疼 列 导 


i 确认 路 出 未 
让 协 的 机 
确认 ARP 表 入 下 版 方向 依次 撞 际 故 和 
确认 MAC 她 址 表 
其 入 口 从 入 才 兴 
确认 战 博 状 次 


图 2.2.60 ”排除 故障 时 人 们 往往 会 从 使 用 ping 开始 


2.3 ”逻辑 设计 


前 面 我 们 学 习 了 数据 链 路 层 和 网 络 层 的 各 种 技术 和 规格 (协议 ) 
始 ， 我 们 要 从 实用 性 的 角度 学 习 如 何在 服务 器 端 使 用 这 些 技术 ， 


染 构 服 务 器 问 时 需要 注意 哪些 事项 。 


2.3.1 整理 出 所 需 的 VLAN 


* 从 这 一 节 开 
以 及 在 设计 和 


首先 我 们 来 看 VLAN 设计 。VLAN 设计 是 指 对 VLAN 的 逻辑 结构 进行 设计 ， 即 


将 VLAN 配置 到 何 处 ， 具 体 又 如 何 配置 。 有 条 不 素 且 注重 效 


Z» 


A 
和 


的 VLAN 配置 对 


今后 服务 器 端的 管理 性 和 可 扩展 性 起 着 极 大 的 作用 ， 因 此 ， 我 们 设计 的 时 候 一 


定 要 着 眼 于 未 来 。 
2.3.1.1 ”实际 所 需 的 VLAN 会 因为 诸多 因素 而 变化 


VLAN 设计 的 第 一 步 是 整理 出 所 需 的 VLAN。 实 际 所 需 的 VLAN 取决 于 人 们 使 


用 的 设备 和 设备 功能 、 数 据 安全 、 运 行 管理 等 诸多 因素 ， 我 们 应 从 不 同 的 角度 


辨别 具体 情况 ， 整 理 出 真正 需要 的 VLAN 。 
首先 要 和 弄 清 所 需 的 设备 和 功能 


首先 ， 我 们 应 站 在 设备 和 功能 的 角度 去 考虑 VLAN。 下 面 我 人 


。ISP 和 L3 交换 机 (CE 交换 机 ) 


与 互联 网 相连 的 L3 交换 机 和 路 由 亏 是 根据 ISP 的 指定 去 


] 从 最 简单 的 结构 
出 发 ， 先 来 看 看 上 层 (ISP 方面 ) 是 怎样 的 情况 (如 图 2.3.1) 。 


分 配 VLAN 的。 


CE (Customer Edge， 客 户 边缘 ) 交换 机 因为 位 于 ISP 和 客户 的 边界 而 得 
名 ，CE (Customer Edge) 路 由 器 的 名 称 由 来 也 是 一 样 。 最 近 好 像 还 出 现 了 
租借 形式 的 ISP， 如 果 是 租价， 那么 此 处 的 VLAN 分 配 就 都 取决 于 ISP， 


是 我 们 能 够 决定 的 了 。VLAN 有 多 种 分 配方 式 ， 不 过 一 


本 


般 情 况 下 人 们 都 会 


在 L3 交换 机 外 侧 各 安排 一 个 ， 在 L3 交换 机 之 间 安 排 一 个 ， 在 全 
个 (如 图 2.3.1) 。 作 为 设计 和 架构 服务 器 端的 工程 师 ， 我 们 只 需 注意 其 中 
一 个 就 可 以 了 ， 那 束 过 内 侧 的 VLAN 。L3 交换 机 内 侧 的 VLAN "用 于 将 服务 


器 端 连接 到 ISP 上 去 1 


匡 寺 #9GP 迁 接 人 9 


雍 过 eB8GP 秆 摘 ISP 


纺 从 境内 着 有 
2 | ,OO 通过 防火 填 如 分 
+ [ /SS) [ 种 机 六 帮 | VEAN 


其 分 本 人 P 疮 搞 为 
VIP 


ot bi vis 
拙 有 VP 旬 盘 此 做 显 0 适 开 让 者 卉 估 基 
证 区 状态 ] SA ( 竹 机 访 闹 | 划分 VEAN 


图 2.3.1 站 在 设备 和 功能 的 角度 整理 出 所 需 的 VLAN 
L3 交换 机 (CE 交换 机 ) 和 防火 墙 


防火 墙 外 侧 的 VLAN 是 用 来 连接 L3 交换 机 的 。 一 般 人 们 会 将 VLAN 划分 

为 防火 墙 外 侧 和 防火 墙 内 侧 两 个 部 分 。 当然， 有 些 设计 比较 特殊 ， 同 一 个 

VLAN (不 划分 VLAN) 也 可 以 运作 笔者 的 确 亲 眼见 过 好 几 种 这 样 的 特殊 
结构 。 然 而 ， 最 经 典 的 处 理 办 法 还 是 将 VLAN 划分 为 内 侧 和 外 侧 两 个 

分 。 此 外 ， 我 们 还 需要 拥有 全 球 卫 地 址 ( 即 分 配 IP 地 址 ， 由 ISP 分 本 的 
VLAN。 分 配 IP 地 址 的 构造 使 其 能 够 存在 于 防火 墙 内 部 ， 它 可 以 转换 为 负 

载 均 衡器 内 部 私 网 的 卫 地 址 。 服 务 器 端的 NAT 可 能 不 太 容 易 理 解 ， 因 此 我 
们 还 会 在 2.3.4.2 也 中 详细 解说 。 如 果 我 们 对 防火 墙 作 了 宛 余 配置 ， 那 么 防 

火 墙 之 间 可 能 也 会 需要 VLAN， 通 过 该 VLAN 去 同步 机 器 的 设置 信息 和 状 
态 信息 。 是 否 需要 VLAN 要 看 具体 使 用 的 设备 ， 人 例如， 思科 公 司 的 ASA 系 
列 是 需要 VLAN 的 ， 瞻 博 公司 的 SSG 系列 则 不 需要 ， 我 们 在 设计 时 务必 要 
仔细 确认 好 设备 规格 。 


防火 墙 和 负载 均衡 器 


防火 墙 内 侧 的 VLAN 有 多 种 结构 ， 这 里 我 们 来 看 一 下 和 负载 均衡 器 连接 的 
结构 。 我 们 可 以 认为 负载 均衡 器 的 VLAN 结构 和 防火 墙 的 是 一 样 的 ， 人 们 
一 般 也 是 将 它 划 分 为 外 侧 和 内 侧 两 个 部 分 。 而 且 ， 这 里 也 需要 一 个 能 将 分 
配 IP 地 址 转换 为 私 网 卫 地 址 的 VLAN， 该 VLAN 的 形式 使 其 能 够 存在 于 
负载 均衡 器 内 部 ，VLAN 中 会 建 起 一 个 用 于 分 散 负 蓓 的 虚拟 服务 器 。 虚 拟 
服务 器 的 IP 地 址 叫 作 VIP (Virtual IP 地 址 ， 虚 拟 了 人 。 如 果 我 们 对 负 
载 均 衡器 作 了 宛 余 配置 ， 那 么 负载 均衡 需 之 间 可 能 也 会 需要 VLAN， 通 过 


NS 


， VLAN 去 同步 机 器 的 设置 信息 和 状态 信息 。 我 们 应 根据 实际 需要 适当 追 
0 o 


。 负载 均衡 器 
最 后 我 们 来 看 一 下 负载 均衡 器 的 内 侧 ， 这 是 分 配给 服务 器 的 VLAN。 需 要 


划分 服务 器 的 VLAN 时 应 该 连接 L3 交换 机 ， 将 连接 负载 均衡 器 的 VLAN 
和 服务 器 VLAN 分 隔 开 。 而 不 需要 划分 时 则 应 该 连接 L2 交换 机 。 


1 这 里 举 的 是 比较 常见 的 VLAN 分 配 例子 。 一 般 来 说 ，ISP 除了 提供 服务 之 外 还 会 给 出 如 何 架构 和 设置 
的 实例 。 请 遵照 该 实例 进行 操作 。 


从 数据 安全 的 角度 整理 出 所 需 的 VLAN 


下 面 我 们 从 数据 安全 的 角度 来 看 VLAN 分 配 。 最 为 常见 的 结构 是 分 成 Untrust 

( 非 信任 区 ) 、DMZ (DeMilitarized Zone， 隔 离 区 ) 和 Trust (信任 区 ) 这 三 个 
区 段 。 区 段 指 的 是 拥有 同样 数据 安全 等 级 的 VLAN 的 群集 ， 人 们 通过 防火 墙 将 
不 同 的 数据 安全 等 级 划分 开 来 〈( 如 图 2.3.2) 。 


证 
. 


: $ Untrust : 


PT 
本 


soeeeeoo II 0 


人 
生生 从 信任 直下 二 不在 丰 丰 让 站 全 全 全 站 从 全 直 下 下 在 下 用 全 站 全 全 ， 
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用 于 忆 MZ 的 
L2 交换 机 


A 


以 


ZS 音 电焊 章 
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图 2.3.2 ”划分 数据 安全 区 段 


DMZ 区 段 的 安全 
中 ， 这 样 ， 当 服务 


等 级 比 Trust 稍 低 ， 在 互联 网 上 公开 的 服务 右 应 配置 到 DMZ 


器 遇 到 劫持 时 受害 程度 可 降 至 最 低 。 安 全 等 级 由 低 到 高 依次 


为 Untrust、DMZ 和 Trust。 有 些 人 有 着 根深 蒂 固 的 观念 ， 认 为 DMZ 只 能 有 一 


个 ， 但 实际 上 并 没 


有 必要 拘泥 于 一 个 ， 我 们 完全 可 以 建立 多 个 不 同安 全 等 级 


的 DMZ。 整 理 好 需要 的 区 段 之 后 ， 接 下 来 就 要 为 它们 分 配 VLAN 


虚拟 环境 中 需要 大 量 的 网 卡 和 VLAN 


如 今 ， 虚 拟 环 境 和 
境 也 无 从 谈 起。 由 
要 的 一 项 就 是 实时 
台 物 理 服务 絮 中 。 
开 ， 这 样 能 将 迁移 


在 虚拟 环境 中 ， 分 
服务 器 上 。 我 们 应 
换 机 和 虚拟 机 。 我 
而 那样 的 话 ， 一 个 
且 ， 不同 虚拟 交换 


系统 之 间 早 已 是 密 不 可 分 的 关系 了 ， 而 离开 了 网 络 ， 虚拟 环 
网 络 作 后 盾 并 且 是 通过 网 络 实现 的 功能 非常 之 多 ， 其 中 最 重 
迁移 。 实 时 迁移 能 将 虚拟 机 的 内 存 信息 迅速 地 迁移 到 另外 一 
。 用 于 迁移 的 网 卡 和 VLAN 和 提供 服务 的 网 卡 和 VLAN 最 好 分 
的 通信 流量 对 服务 产生 的 影响 控制 在 最 小 范围 之 内 。 


属于 LAN 和 DMZ 等 不 同 VLAN 的 虚拟 机 共存 于 同一 台 物 理 
在 充分 考虑 通信 流量 类 型 和 管理 性 的 基础 上 ， 去 配置 虚拟 交 
们 也 可 以 用 一 台 虚 拟 交 换 机 去 连接 所 有 VLAN 的 虚拟 机 ， 然 
VLAN 的 突 发 流量 就 会 对 所 有 VLAN 的 流量 都 产生 影响 。 而 
机 各 目 承 担 的 职能 以 及 它们 和 网 卡 之 间 的 映射 关系 也 容易 变 


得 混乱 。 我 们 不 仅 
虚拟 交换 机 分 开 以 
虚拟 环境 让 我 们 外 


拥 而 上 的 局 面 ， 因 
估算 数量 预 留 出 一 


要 将 流量 的 影响 控制 在 最 小 范围 之 内 ， 还 应 按 不 同 的 职能 将 


提高 管理 性 。 


BE 够 轻松 地 深 辣 服务 避 ， 这 样 容易 造成 各 种 VLAN 的 虚拟 机 蜂 
Se 完 今 后 的 可 扩展 性 ， 我 们 应 该 对 网 卡 和 VLAN 的 
定 的 余 


用 于 Trust 的 坦 于 Trust 的 
2 
9 | | 用 于 Trust 的 

雇 控 交 摘 宙 
) ) 在 前 钳 接 营 磋 务 
产生 的 通信 谅 僵 


用 于 DMZ 的 | | 用 于 Trust 的 
织 执 交换 机 | | 上段 抽 交换 机 


| 实时 迁移 的 通信 
用 于 实时 迁移 的 流星 流向 后 这 
应 执 实 换 机 


用 于 实时 迁 炮 的 
谎 扫 交换 宙 


图 2.3.3 ”实时 迁移 的 通信 流量 流入 后 端的 VLAN 
※ 因 版 面 关系 ， 部 分 服务 器 在 图 中 省 略 未 画 。 
男 设 一 个 用 于 数据 备份 的 VLAN 


最 近 ， 经 网 络 转发 备份 数据 的 处 理 越 来 越 多 了 ， 这 种 处 理 一 般 是 在 夜间 通过 批 
处 理 功 能 进行 转发 的 ， 对 正常 时 间 段 的 服务 没有 太 大 影响 。 然 而 就 其 本 质 来 


说 ， 它 依然 是 在 短 时 之 内 转发 开 大 的 流量 ， 所 以 比较 明智 的 做 法 生 另 外 设计 
套 VLAN 和 网 卡 来 对 应 这 种 处 理 ， 将 影响 控制 在 最 小 旋 围 之 内 。 

之 前 讲解 过 的 实时 迁移 和 备份 都 具有 相同 的 特点 ， 那 就 是 它们 都 会 在 短 时 之 内 
产生 巨大 的 通信 流量 并 进行 转发 。 对 此 我 们 应 男 设 一 套 专门 应 对 突 发 流量 的 
VLAN 和 了 网卡， 将 究 发 流量 对 服务 产生 的 影响 控制 在 最 小 范围 之 内 。 


; 用 于 服务 的 : 
: VAN : 


[# 器 等 渭 99AM 


: -和 9 备份 产生 的 通信 流量 
和 : : 流 Nl 后 媒 


1 


图 2.3.4 备份 的 通信 流量 流入 后 端的 VLAN 
从 运行 管理 的 角度 整理 出 所 需 的 VLAN 


出 于 对 运行 管理 的 考虑 ， 网 络 的 规模 越 大 ， 我 们 就 越 应 该 另外 设计 一 个 用 于 运 
行 管理 的 VLAN。 通 过 将 服务 和 运行 管理 完全 分 离 来 简化 管理 过 程 ， 将 运行 流 
量 对 服务 流量 产生 的 影响 控制 在 最 小 范围 之 内 。 这 时 候 ， 用 于 监控 设备 故障 和 
工作 状态 的 Syslog、SNMP (Simple Network Management Protocol， 简 单 网 络 管 
理 协 议 ) 和 NTP (Network Time Protocol， 网 络 时 间 协 议 ) 产生 的 通信 流量 将 会 
经 过 另 设 的 VLAN 转发 出 去 。Syslog、SNMP 和 NTP 将 分 别 在 5.1.3 节 、5.1.2 
节 和 5.1.1 节 中 详细 说 明 。 


最 近 ， 大 多 设备 既 配 有 通常 使 用 的 服务 端口 ， 也 配 有 另外 专用 的 管理 端口 ， 我 
们 可 将 管理 端口 设 为 运行 管理 VLAN。 如 有 果 没 有 专用 的 管理 端口 ， 我 们 也 可 以 
将 服务 只 口 中 的 某 一 个 端口 设 为 运行 管理 VLAN， 将 其 作为 管理 端口 使 用 。 


估算 VLAN 的 数量 时 应 留 有 余地 


分 配给 用 户 和 服务 器 的 VLAN 数量 是 会 变化 的 。 当 前 需要 五 个 VLAN， 并 不 意 
味 着 今后 也 一 直 只 需要 五 个 。 我 们 应 为 今后 的 可 扩展 性 考虑 ， 在 设计 阶段 留 出 
定 的 富余 ， 将 数量 估算 得 比 现状 需要 的 多 一 些 才 行 。 


根据 VLAN 的 位 数 考虑 留 出 多 少 富余 是 个 比较 容易 汇总 的 办 法 。 假 设 我 们 当前 
需要 五 个 27 位 的 VLAN， 佑 算 时 可 不 能 随 随 便便 ， 担 一 下 脑袋 就 凭空 决定 暂时 
多 报 一 个 而 得 出 共 需 要 六 个 的 结论 。 网 络 是 逻辑 的 世界 ， 决 定 什 么 事 的 时 候 一 

定 要 有 充分 合理 的 逻辑 才 行 。 回 到 例子 ， 经 过 思考 我 们 会 发 现 多 留 三 个 是 合理 

的 ， 最 后 能 够 汇总 到 24 位 ， 让 结构 得 以 简化 。 


表 2.3.1 估算 VLAN 的 数量 时 应 留 有 余地 


255.255.255.0 | 255,255.255,128 | 255;255.255,192 | 255.255.255.224 
/25 
126 (=128-2 ) 


'92.168110 
192.168.1.0 

001 
192.168.1.0 


192.168.1.64 开户 VLAN (3 
192.188.1.64 


192.168:1.96 用 户 VLAN 4 
192.168,1.0 
192,168.1,128 刷 户 YLAN。_ 
192.168.1.128 


192.168:1.160 狠 待 日 后 六 寡 

192.168.1.192 留待 日 后 扩展 
192.168.1.192 

192.168,1.224 留待 日 后 扩展 


192.168.1.128 


2.3.1.2 ”规定 VLAN 的 ID 


人 们 是 通过 VLAN ID (数字 ) 来 识别 VLAN 的 。VLAN ID 在 交换 机 内 部 设 
置 ， 负 责 将 不 同 的 VLAN 区 别 开 。 我 们 知道 ， 只 要 不 用 打 标 VLAN，VLAN 就 
仅 在 一 台 交 换 机 内 有 效 ， 因 此 ， 即 使 是 同一 VLAN 我 们 也 可 以 基于 交换 机 为 它 
们 设置 不 同 的 VLAN ID， 并 且 能 够 保证 通信 正常 。 如 下 图 所 示 ， 我 们 看 到 右边 
的 交换 机 已 经 将 VLAN 设 成 了 VLAN2， 于 是 决定 在 左边 的 交换 机 中 将 VLAN 
设 成 VLAN1， 这 样 做 也 不 是 不 行 的 。 然 而 ， 站 在 运行 管理 的 角度 去 看 ， 就 会 发 
现 这 种 设置 会 带 来 极 大 的 麻烦 ， 那 就 是 我 们 还 得 花 点 时 间 在 脑子 里 给 它们 一 一 
对 上 号 才 行 ， 既 费力 又 耗 时 。 因 此 ， 对 于 同一 VLAN， 我 们 应 该 统一 设置 相同 
的 ID， 在 设计 阶段 就 将 VLAN ID 的 基本 规则 明确 下 来 。 


L2 交换 专 (Switch1 ) 


图 2.3.5 ”VLAN ID 不 统一 的 话 很 容易 混淆 


使 用 打 标 VLAN 时 ， 则 务必 要 保持 VLAN ID 一 致 ， 本 征 VLAN 也 是 如 此 。 默 
认 的 本 征 VLAN 是 VLAN1， 所 以 我 们 也 可 以 直接 使 用 它 。 不 过 ， 使 用 默认 值 时 
存在 数据 安全 风险 。 有 一 种 网 络 攻 击 叫 作 “VLAN 跳跃 并 ， 是 利用 VLAN 的 标 
签 规格 进行 恶意 攻击 的 ， 如 果 使 用 默认 值 就 会 成 为 被 攻击 的 对 象 。 所 以 我 们 最 
好 不 要 使 用 默认 的 VLAN1， 而 是 对 其 稍 作 修 改 ， 这 样 才 更 加 安全 。 


| ! 此 种 攻击 会 发 送 一 个 打上 了 VLAN 标签 的 报 文 ， 跨 越 访问 控制 进行 DoS 攻击 。 


图 2.3.6 使 用 打 标 VLAN 时 要 保持 本 征 VLAN 一 致 


我 们 也 可 以 为 VLAN 外 命名 。 起 一 个 无 论 是 谁 都 能 看 明白 的 名 字 对 今后 的 运行 管 
理 有 着 重大 的 和 意义。 管理 人 员 不 可 能 一 直 固 守 同 一 岗位 ， 因 此 我 们 应 制定 一 个 


简单 易 行 的 命名 基本 规则 ， 确 保 其 他 人 员 接 手工 作 时 能 够 很 快 理解 名 字 的 含 
i 


2.3.2 ”在 考虑 数量 增 减 的 基础 上 分 配 IP 地 址 


下 面 我 们 来 看 IP 地 址 设计 。 了 P 地 址 设计 指 的 是 给 配置 好 的 VLAN 分 配 怎样 的 网 
络 地 址 。 有 条 不 率 且 注重 效率 的 卫 地址 分 配对 今后 的 管理 性 和 可 扩展 性 起 着 极 
大 的 作用 ， 因 此 ， 我 们 设计 的 时 候 一 定 要 着 腿 于 未 来 。 


2.3.2.1 IP 地址 的 估算 数量 应 高 于 当前 所 需 数量 


IP 地 址 设计 的 第 一 步 是 弄 清 所 需 IP 地 址 的 数量 。 实 际 所 需 的 卫 地 址 取决 于 人 
们 使 用 的 设备 和 设备 功能 、 服 务 器 数量 、 客 户 端 数量 等 诸多 因素 ， 我 们 应 从 不 
同 的 角度 辨别 具体 情况 ， 整 理 出 架构 环境 时 真正 需要 的 卫 地 址 。 


估算 时 应 留 有 余地 


如 果 是 在 IP 地 址 绝对 不 会 增加 或 减少 的 VLAN， 例 如 防火 墙 之 间或 负载 均衡 器 
之 间 的 VLAN 等 ， 我 们 只 要 数 清 楚 IP 地 址 的 数量 就 好 了 。 


然而 事实 并 没 那 么 简单 ， 对 分 配给 用 户 和 服务 器 的 IP 地 址 我 们 必须 多 估算 一 些 
才 行 。 如 果 考 虑 得 过 于 简单 ， 比 如 单纯 地 认为 “需要 10 个 IP 地 址 嘛 ， 那 我 用 28 
位 去 分 配 就 好 了 ”， 那 么 今后 需要 更 多 IP 地 址 的 时 候 ， 我 们 就 不 得 不 重新 分 配 
VLAN， 非 常 麻烦 。 新 增 VLAN 相当 于 新 设 路 由 器 ， 是 一 件 十 分 得 时 费力 的 事 
情 ， 所 以 我 们 应 合理 预 估 今后 卫 地 址 的 增加 情况 ， 尽 可 能 多 估算 一 些 数量 。 


壮志 河 可 术 屎 拖 ， 我 们 
应 多 估算 一 冀 人 P 她 相 的 
数 普 


用 28 位 分 配 仅 剩 4 个 人 P 林 全 
ds ches 人 We | = 中 "| 


图 2.3.7 ”估算 数量 应 高 于 当前 所 需 数量 
估算 时 不 要 起 了 用 于 特殊 用 途 的 IP 地 址 
如 膝 我 们 给 服务 器 和 网 络 设 备 作 了 元 余 配 置 ， 那么 除了 物理 IP 地 址 之 外 它们 一 


般 还 需要 一 个 共享 IP 地 址 。 总 得 来 说 就 是 ， 在 考虑 耻 地 址 的 数量 时 ， 不 要 忘记 


我 们 需要 的 有 活动 机 的 IP 地址、 备用 机 的 他 地 址 和 二 者 共 吾 的 耳 地 址 守 。 共 
享 


18 有 些 设备 没有 共享 IP 地 址 ， 而 是 直接 使 用 活动 机 的 物理 IP 地 址 ， 这 取决 于 我 们 选用 的 机 器 规格 。 因 此 
在 设计 时 请 一 定 要 好 好 确认 这 点 。 


FETEELEEEEEEEEEELEEEEEELEEEEEELLELELEELEEEELELEELEEE 


: 通过 FHRP 实现 宛 余 : 
人 01 | 备用 机 的 
物理 IP 物理 IP 


FHRP 的 共享 
【虚拟 ) IP 


> J> 
- 3 
邮 昌 型 沉 
一 串 二 路 
吉 


图 2.3.8” 作 元 余 配置 时 所 需 的 IP 地 址 会 增加 
VLAN 是 要 做 大 还 是 做 小 
网 络 是 要 做 大 还 是 做 小 ， 这 对 运行 管理 有 着 重大 的 影响 。 


以 往 人 们 一 直 推崇 按 IP 地 址 所 需 个 数 将 网 络 尽量 做 小 的 思路 ， 然 而 ， 现 在 这 样 

做 已 经 未 必 是 最 好 的 选择 了 。 实 际 上 ， 将 配置 在 LAN 内 的 用 户 VLAN 用 21 位 

分 隔 开 ,， 在 1 个 VLAN 中 喜 括 数 千 台 终端 的 事例 也 不 是 没有 。 当 然 ， 那 样 的 话 

同一 VLAN 中 的 终端 都 会 收 到 本 身 并 不 需要 的 广播 ， 不 过 最 近 的 OS 已 经 不 像 

过 去 那样 频繁 地 使 用 广播 了 ， 接 口 的 速度 也 比 以 前 快 了 很 多 ， 所 以 网 络 即 使 做 

Ue 。 网 络 越 大 VLAN 就 越 少 ， 设 置 和 运行 管理 也 就 
VA 


将 网 络 做 大 时 有 一 点 必须 注意 ， 那 就 是 桥接 环 路 。 网 络 越 大 ， 死 循环 的 影响 范 
围 就 越 大 ， 一 旦 发 生 桥接 环 路 ， 那 么 所 有 隶属 于 该 VLAN 的 终端 就 会 无 法 通 
信 。 不 仅 如 此 ， 有 些 路 由 点 上 的 所 有 终端 也 可 能 会 无 法 通信 。 因 此 ， 我 们 在 设 
计时 ， 务 必要 用 STP (Spanning Tree Protocol， 生 成 树 协议 ) 防止 死 循 环 的 发 
生 。 桥 接 环 路 和 STP 将 在 4.1.2.1 节 中 详细 说 明 。 


CITTITTITTIE TTT 


大 VLAN 的 分 配 


牙 炙 十 


防 兴 癣 
【生机 长 二 1 


( 身 动 大 总】 
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图 2.3.9 VLAN 是 要 做 大 还 是 做 小 

关于 网 络 的 设计 笔者 还 要 提 一 点 ， 那 就 是 无 论 需要 多 少 个 IP 地 址 都 用 “/24” 去 统 
一 分 隔 的 手法 。 用 24 位 去 划分 比较 容易 理解 ， 也 便于 管理 。 网 络 要 做 到 多 大 取 
决 于 客户 的 需求 ， 我 们 应 看 准 和 认 清 需求 之 后 再 去 考虑 网 络 的 具体 设计 。 


2.3.2.2” 按 顺序 排列 网 段 ， 使 之 更 容易 汇总 
注重 效率 的 子 网 划分 对 路 由 汇总 起 着 良好 的 作用 ， 有 利于 简化 路 径 。 我 们 在 设 


计 的 时 候 应 按 一 定 的 顺序 排列 网 段 ， 使 它们 更 加 容易 汇总 、 更 加 简约 明朗 。 预 
先 定义 好 在 哪里 汇总 、 用 多 少 位 去 汇总 ， 也 有 助 于 提高 系统 今后 的 可 扩展 性 。 


出 TSP: 分 配 圭 ISP 分 酉 


L3 交 换 宙 | 坊 ISP | ,上 3 交 交换 宙 
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图 2.3.10 ”将 网 段 按 顺序 排列 


笔者 一 般 会 将 网 段 整理 成 一 张 表 格 (如 表 2.3.2) 以 便 随 时 查询 。 整 理 出 一 张 这 
样 的 表格 后 ， 网 段 的 汇总 和 管理 都 会 更 加 轻松 。 下 面 这 张 表 是 对 网 段 分 配 的 整 
理 结果 ， 在 将 网 段 分 配给 服务 器 的 过 程 中 ， 最 终 要 达到 能 够 用 24 位 对 网 段 进行 
划分 和 汇总 的 结果 。 做 这 种 IP 地 址 设计 就 像 玩 俄罗斯 方块 一 样 ， 充 满 了 乐趣 。 


表 2.3.2 将 网 段 整理 成 表 


用 途 
10.1.0.128 乱 乱 日后 扩展 


10.1.0.160 甸 待 日 后 扩展 


10,1,0,192 禄 竺 日 藻 矿 慌 


入 待 日 后 扩 许 
留待 VIP 日 后 扩 谨 


圭 = = 
S © Ss 
2 2 2 
Ss | 5 | s |* 
一 Cn © 
3 » 
5 


mm | 


10.1.7.224 
ed LBLLB 之 间 
2.3.2.3 ”必须 统一 规定 从 何 处 开始 分 配 IP 地 址 


网 段 分 好 之 后 ， 接 下 来 我 们 应 该 在 其 中 的 何 处 开始 分 配 IP 地 址 ， 具 体 又 该 如 何 
分 配 昵 ? 对 于 这 些 问题 也 都 做 出 统一 规定 的 话 ， 理 解 起 来 就 会 易如反掌 。 例 

如 ， 我 们 可 以 做 出 这 样 的 分 配 规定 : 服务 器 和 用 户 终 端的 IP 地 址 从 数字 最 小 的 
编号 用 起 ， 网 络 设备 的 卫 地 址 则 从 数字 最 大 的 编号 用 起 。 这 样 ，IP 地 址 的 分 配 
和 使 用 就 有 了 统一 性 ， 后 面 的 管理 也 就 方便 多 了 。 此 外 ， 我 们 在 设计 类 似 的 结 
构 时 也 可 以 照 萌 卢 画 味 地 采用 同样 的 基本 规则 ， 那 样 也 会 轻松 很 多 。 只 要 没有 


现成 的 基本 规则 ， 对 于 类 似 的 结构 ， 笔 者 总 是 会 制定 一 模 一 样 的 基本 规则 以 提 
高 作业 效率 、 减 少 作业 失误 。 


rn ee 
DER We | gp 
9 - 恨 务 器 芯 1 狼 
| 
; 留 符 Web 服务 器 日后 扩 民 : 
0118 。 | 文人 中 
: | 101.19 | 文人 服务 回回 : 
| 101.1.10 | 文件 服务 器 @ : 


: TO ' 团 待 冯 件 有 


. 2 6 
: 4 i | 从 数字 
INIEEEIITEIETT | : | 本 
: L3 交换 机 物理 IP ( 活动 机 ) : 
[1011254 | (3 的 n# 闻 P| 


图 2.3.11 统一 分 配 IP 地 址 的 基本 规则 


2.3.3 ”路 由 选择 以 简 为 上 


下 面 ， 我 们 来 看 路 由 设计 。 路 由 设计 是 指 设计 在 什么 地 方 以 及 如 何 对 分 配 好 的 
网 络 地 址 进行 路 由 选择 。 在 哪里 、 如 何 进行 路 由 选择 对 今后 的 管理 性 和 可 扩展 
性 起 着 极 大 的 作用 ， 因 此 我 们 设计 的 时 候 一 定 要 着 眼 于 未 来 。 


2.3.3.1 考虑 在 路 由 选择 中 使 用 哪些 协议 


首先 ， 我 们 要 确定 在 路 由 选择 中 使 用 哪些 协议 。 以 往 ， 人 们 将 Apple Talk、SNA 

(Systems Network Architecture， 系统 网 络 避 & 构 ) 、FNA (Fujitsu Network 
Architecture， 富 士 通 网 络 架 构 ) 和 IPX 等 多 种 协议 混合 在 一 起 使 用 ， 每 一 个 协 
议 都 得 进行 路 由 选择 。 不 过 ， 现在 大 多 数 环境 都 只 有 IP， 和 以 往 相 比 简单 了 不 
少 。 大 多 数 情 况 下 ， 人 们 仅 将 卫 数据 包 视 为 路 由 选择 的 对 象 。 


2.3.3.2 ”考虑 采用 哪 种 路 由 选择 方法 


然后 ， 我 们 应 该 确定 采用 哪 种 路 由 选择 方法 。 路 由 选择 有 两 种 方法 ， 分 别 是 静 
态 路 由 选择 和 动态 路 由 选择 。 


用 于 互联 网 的 通信 采用 默认 路 由 


当 我 们 的 通信 对 象 在 互联 网 上 时 ， 其 IP 地 址 是 不 特定 的 。 因 此 ， 对 于 在 网 络 中 
扮演 着 通 往 互联 网 的 出 口 这 一 角色 的 设备 ， 比 如 防火 墙 和 负载 均衡 器 等 ， 我 们 
应 将 它们 的 IP 地 址 设 为 默认 网 关 。 如 果 我 们 对 这 些 设备 作 了 元 余 配置 ， 那 么 其 
共享 IP 地 址 就 是 默认 网 关 。 


防火 墙 的 路 由 吉 
11,1.254 
[10.1.20 |2552552550 |10.1.1.251 


真 注 限 务 妃 的 药店 


代 癌 
10.1.10/24 


前 朝 均 宙 蔬 的 跑 军 表 


位 共享 IP 议 轩 为 
下 一 人 


瞩 务 
1012024 


图 2.3.12 ”默认 网 关 为 共享 IP 地 址 


※ 实际 上 Connected ( 直 连 的 ) 网 段 也 会 写 入 路 由 表 。 这 里 为 了 方便 大 家 理解 ， 仅 画 出 了 设置 的 路 径 信 


《DA 8 


如 有 果 公 开 服 务 器 的 后 端 有 配置 了 DB 服务 器 和 AP 服务 器 的 VLAN ， 我 们 束 要 对 
公开 服务 器 设置 能 够 抵达 该 WLAN 的 静态 路 由 。 偶 尔 可 能 会 出 现 后 端 也 设置 了 
稚 认 网 和 天， 结果 导致 一 个 服务 融 拥 有 好 儿 个 默认 网 关 的 情况 ， 但 这 是 错误 的 做 
法 ， 服 务 器 的 默认 网 关 只 能 有 一 个 。 如 果 通 往 特定 VLAN 的 路 径 有 别 的 下 一 
跳 ， 我 们 也 应 设置 能 够 抵达 该 VLAN 的 静态 路 由 。 


由 于 通信 对 才 是 互联 阿 
士 的 不 翌 冠 |P， 应 竺 其 
默认 这 关 。 


套 务 司 的 路 由 表 设 为 
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辕 闫 等 妾 二 


Web 服务 器 前 并 
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Web 服务 器 后 汪 
10.1.2.01/24 


DB 报 务 器 
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图 2.3.13 ”默认 网 关 只 能 有 一 个 
和 ISP 的 连接 点 上 运行 着 ISP 


ISP 上 运行 着 BGP。 位 于 系统 最 上 层 的 L3 交换 机 在 ISP 和 eBGP 对 等 体 之 间 以 
及 L3 交换 机 之 间 安 排 iBGP 对 等 体 ， 以 此 来 确保 从 互联 网 通 向 服务 器 端的 路 径 
1 。 而 且 ， 这 个 时 候 会 通过 BGP 属性 控制 使 用 的 线路 。 通 向 互联 网 的 路 径 是 将 
ISP 的 CE (Customer Edge， 客 户 边 缘 设 备 ) 交换 机 作为 下 一 跳 的 默认 路 由 


避 


| ”实际 上 是 通过 将 静态 路 由 


置 ) 为 前 提 


| 
前提。 


和 IGP 


屋 BGP 结构 。 本 


Web 服务 器 的 馅 由 表 


10.1.1254 
255.255.255.0 |10.1.2254 


ll 


| 


0.0.0. 


再 发 布 给 BGP， 或 是 仅 将 特定 的 路 径 写 入 BGP 表 来 确保 路 径 。 


讲解 的 BGP 结构 均 以 单一 ISP 双 线 接 入 〈 宛 余 配 


上 
丕 静态 路 由 再 £54 3 2 将 甬 访 路 由 再 
ll 和 ee 
i i | | 矿 态 |6660 |255.2552550 |3.3.3.251 
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图 2.3.14 ”ISP 是 通过 BGP 接 入 的 


※ FW-FW 之 间 的 VLAN 因 和 1ISP 接 入 无 关 ， 所 以 图 中 省 略 未 画 。 
统一 路 由 协议 


在 LAN 内 运行 路 由 协议 时 ， 将 各 种 路 由 协议 统一 成 一 个 比较 合理 。 当 然 ， 我 们 
也 可 以 通过 再 发 布 让 几 个 不 同 的 路 由 协议 同时 运行 ， 事实 上 也 的 确 存在 非 这 样 
处 理 不 可 的 情况 。 但 是 ， 考 虑 到 今后 的 运行 管理 ， 还 是 将 它们 迁移 到 一 个 路 由 
协议 上 的 做 法 更 加 合适 。 


路 由 选择 方式 分 核心 路 由 选择 和 边缘 路 由 选择 两 种 


路 由 选择 方式 也 是 设计 LAN 内 路 由 选择 的 一 个 关键 。 将 路 由 选择 点 (让 数据 包 
选择 路 径 的 点 ) 落实 到 网 络 结构 的 哪个 阶层 ， 决 定 了 路 由 选择 方式 是 核心 路 由 
选择 还 是 边缘 路 由 选择 。 


核心 路 由 选择 是 由 位 于 网 络 中 心 的 核心 交换 机 为 所 有 路 由 数据 包 选 择 路 径 的 方 
式 ， 这 种 方式 下 要 给 核心 交换 机 配置 L3 交换 机 、 给 边缘 交换 机 配置 L2 交换 
机 。 路 由 选择 点 因为 只 有 核心 交换 机 这 一 处 ， 所 以 该 方式 操作 方便 ， 故 障 也 容 
易 排 除 。 不 过 ， 如 果 一 个 VLAN 内 发 生 了 桥接 环 上 路， 影响 就 会 波及 整个 
VLAN， 所 以 我 们 务必 认真 对 待 STP 设计 。 此 外 ， 由 于 所 有 的 路 由 数据 包 都 会 
经 过 核心 交换 机 ， 我 们 还 要 注意 核心 交换 机 的 处 理 负 和 蓓 问题 。 
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图 2.3.15 核心 路 由 选择 方式 仅 靠 核心 交换 机 来 选择 路 径 


边缘 路 由 选择 是 由 位 于 网 络 边缘 的 边缘 交换 机 选择 路 径 的 方式 ， 这 种 方式 下 要 

给 核心 交换 机 和 边缘 交换 机 都 配置 L3 交换 机 。 核 心 交 换 机 和 边缘 交换 机 之 间 通 
过 路 由 协议 同步 LAN 内 路 径 ， 因 此 边缘 交换 机 也 能 够 进行 路 由 选择 。 同 属 一 台 
边缘 交换 机 的 VLAN 之 间 的 路 由 数据 包 只 需 经 该 边缘 交 换 机 处 理 即 可 ， 因 此 负 
谷 得 以 分 散 ， 而 且 即 使 发 生 桥 接 环 路 ， 其 影响 也 不 至 于 扩散 到 整个 范围 。 不 过 
这 种 方式 也 有 缺点 ， 比 如 路 由 选择 点 较 多 、 构 造 稍 嫌 复 杀 、 运 行 管理 也 会 更 难 


一 些 。 
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图 2.3.16 在 边缘 路 由 选择 方式 中 ， 边 缘 交 换 机 也 能 够 选择 路 径 


过 去 人 们 比较 倾向 于 将 VLAN 尽量 做 小 且 采 用 边缘 路 由 选择 的 方式 ， 然 而 现在 
主流 已 经 变 成 了 将 VLAN 尽量 做 大 且 采 用 核心 路 由 选择 的 方式 ， 这 是 因为 后 者 
能 将 运行 管理 方面 的 优势 最 大 化 。 两 种 路 由 选择 方式 都 有 各 目的 优点 和 缺点 ， 
选择 哪 一 种 取决 于 客户 的 需求 。 我 们 应 认 请 需求 之 后 再 开始 设计 。 


表 2.3.3 ”核心 路 由 选择 和 边缘 路 由 选择 都 有 各 目的 优点 和 缺点 


路 由 选择 方式 核心 路 由 选择 边缘 路 由 选择 


1 选择 点 交心 交换 机 核心 交换 机 ~ 边缘 交换 机 


各 VLAN 的 默认 网 关 心 交 换 机 边缘 交换 机 


逻辑 结构 


数据 包 的 处 理 负 和 蓓 全 部 集中 在 核心 交换 机 上 也 会 分 散 到 边缘 交换 机 上 


L2 死 循 环 的 影响 范围 下 


让 路 由 器 和 3 交换 机 处 理 路 由 协议 


防火 场 、 负 载 均 衡器 和 服务 器 也 是 可 以 启动 路 由 协议 的 ， 不 过 笔者 并 不 推荐 这 
样 做 。 我 们 偶尔 会 遇 到 态 度 强 醒 的 管理 人 员 翻 出 不 知 是 从 哪里 找 来 的 使 用 手 
册 ， 说 既然 有 这 项 功能 那 就 要 用 用 看 ， 这 种 想法 是 不 对 的 。“ 有 这 项 功能 ”和 “用 
0 尤其 在 路 由 协议 方面 ， 我 们 还 是 交 给 专用 设备 
去 处 理 比较 合适 。 因 为 即使 通过 防火 墙 、 负 载 均 衡器 或 服务 器 局 动 了 路 由 协 
议 ， 我 们 并 不 外 ee 
是 交 给 L3 交换 机 和 路 由 器 去 处 理 吧 。 


2.3.3.3 ”将 路 径 汇 总 以 减少 路 径 数量 
我 们 应 该 确定 在 什么 地 方 、 将 多 少 条 路 径 汇 总 起 来 。 任 赁 路 径 发 展 的 话 ， 其 数 


量 只 会 有 增 无 减 ， 也 会 越 来 越 配 ， 还 有 可 能 引发 设置 失误 。 所 以 我 们 要 按 顺 序 
分 配 网 络 地 址 ， 合 理 高 效 地 汇总 路 径 。 


图 2.3.18 所 示 的 是 一 个 利用 防火 墙 将 /27 汇总 到 /24 中 ， 减 少 路 径 数量 的 示例 。 
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图 2.3.17 要 使 用 路 由 协议 就 应 该 准备 L3 交换 机 和 路 由 器 
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图 2.3.18 ”通过 汇总 来 简化 路 径 


2.3.4 NAT 要 按 入 站 和 出 站 分 别 考虑 


不 了 解 NAT 的 人 会 觉得 它 很 复杂 ， 不 知 不 觉 就 对 它 敬 而 远 之 。 然 而 ， 当 我 们 规 
定好 在 哪里 转换 地 址 之 后 ， 再 去 考虑 起 点 和 终点 应 该 分 别 安排 在 何 处 ， 又 应 该 
如 何 进行 地 址 转换 的 话 ， 事 情 就 没 那么 复杂 了 “。 本 书 将 按 入 站 (由 互联 网 通 向 
服务 器 端的 通信 ) 和 出 站 〈 由 服务 器 端 通 向 互联 网 的 通信 ) 来 讲解 NAT?! 。 


‖ 2 


I 


+ 实 负载 均衡 也 是 一 种 利用 了 地 址 转换 的 技术 ， 只 是 放 在 这 里 一 起 介绍 容易 混淆 ， 所 以 将 其 放 在 第 3 


中 详细 说 明 


2.3.4.1 NAT 是 在 系统 边界 进行 的 


和 路 由 选择 一 样 ，NAT 的 设计 也 是 以 简 为 上 的 。 如 末 在 一 个 系统 的 很 多 地 方 痢 
进行 了 地 址 转换 ， 我 们 就 会 渐渐 地 理 不 出 头绪 来 ， 所 以 最 好 还 是 尽量 避免 重复 
的 地 址 转换 ， 采 用 单纯 明朗 的 设计 。 


NAT 是 在 系统 的 边界 进行 的 。 对 服务 器 端 来 说 ， 它 和 互联 网 的 边界 是 防火 墙 ， 
NAT 多 在 防火 墙 中 进行 ， 即 在 防火 墙 中 将 全 球 IP 地 址 转换 为 私 网 人 PP 地 


声明 六 款 中 背 全 于 
志 地 址 转换 为 天 
由 地址 


El 


图 2.3.19 NAT 多 在 防火 墙 中 进行 

2.3.4.2 ”通过 入 站 通信 和 转换 地 址 

入 站 (由 外 部 进入 内 部 的 ) 通信 和 是 针对 公开 服务 器 0 需要 转换 目的 全 地 
址 。 其 原理 是 ， 先 找 出 需要 在 互联 网 上 公开 的 服务 器 ， 然 后 对 该 服务 器 的 I 了 P 地 
址 进行 转换 。 

服务 器 端的 NAT 比较 特殊 ， 不 太 容易 弄 懂 ， 下 面 我 们 来 整理 一 下 。 


ISP 和 全 球 IP 地 址 签约 之 后 会 提供 两 个 全 球 IP 地 址 范围 ， 一 个 用 于 连接 ， 另 一 
个 则 用 于 分 配 笠 。 用 于 连接 的 IP 地 址 范围 是 指 用 于 连接 ISP 的 多 个 VLAN, 在 


[中 


防火 墙 的 Untrust 区 段 中 设置 ， 用 于 分 配 的 IP 地 址 空 


间 则 是 指 用 于 公开 服务 右 


和 出 站 NAPT 的 了 P 地址 的 VLAN， 仪 存在 于 防火 墙 内 部 。ISP 将 分 配 IP 地 址 范 


围 的 下 一 跳 设 为 防火 墙 的 连接 下地 址 2 ， 
据 包 就 会 进入 防火 墙 而 不 是 代理 ARP， 防 火 墙 在 NAT 表 中 查 


的 IP 地 址 后 将 其 转换 为 私 网 卫 地 址 ， 


叫 作 “ 区 间 IP 地 址 范围 >， 将 


这 样 ， 发 送 给 分 配 IP 地 址 范围 的 数 
询 到 该 数据 包 的 目 
然后 将 数据 包 发 送 给 公开 服务 器 。 


于 分 配 的 IP 地 址 范围 叫 作 “范围 


IP 地 


| 
址 ”。 


| 宇 如 果 我 们 做 了 宛 余 配置 


将 梁 送 给 分 配 户 
| 的 败 据 引 通 过 小 用 于 连接 的 lp 空 间 
蜡 迹 掺 引入 演 量 1 


再 于 分 配 的 外 f 
范围 2.2.2.0/24， 一 
(全 球 上 P】 


信 存 在 于 入 内 
雯 内 新 


192:168.1.0/24 
( 癌 网 IP】 


则 应 将 下 一 跳 设 为 共享 


IP 地 址 。 
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瘟 询 要 公开 的 乳 
各 中 及 其 放 


图 2.3.20 
通过 出 站 通信 转换 地 址 
出 站 (由 内 部 去 往外 部 的 ) i 


2.3.4.3 


址 。 其 原理 是 ， 
址 作为 源 IP 地 址 进行 转换 。 


将 NAT 定义 为 一 对 一 形式 的 公开 服务 
刚好 相反 。 


通信 是 针对 互联 网 的 通信 ， 
对 互联 网 的 通信 大 多 是 通过 NAPT 将 多 个 私 网 全 地 址 转换 为 
先 找 出 应 从 哪个 VLAN 将 信 


入 站 通信 的 NAT 为 一 对 一 的 形式 


需要 转换 源 IP 地 址 。 针 
一 个 全 球 IP 地 
息 发 到 互联 网 上 ， 然 后 将 该 网 络 地 


， 其 出 站 通信 的 定义 步 又 和 入 展 通信 的 


全 进行 转换 


损 索 浏 |P 
内 部 一 = i 
192 168.3.0124 we 
(到 出访) eg 1111 


图 2.3.21 出 站 通信 通过 NAPT 进行 地 址 转换 


第 3 章 数据 安全 设计 和 负载 均衡 设计 
本 章 概 要 


i 
TT 加 所 ° 


几乎 所 有 我 们 使 用 或 开发 的 应 用 程序 都 角 E 锣 在 网 络 中 "流通" 运行， 轩 此 信 
2 对 于 这 些 激增 的 信息 流量 ， 服 务 器 能 够 提供 
多 大 程度 的 安全 保障 ， 又 能 够 完成 多 大 数量 的 处 理 ， 这 两 点 可 以 说 是 服务 
髓 疹 的 关键 所 在 。 只 和 实地 党 所 玫 本 夫 沾 ， 并 且 设 计 出 量 佳 信息 安全 
环境 和 负载 均衡 环境 ， 我 们 才能 灵活 应 对 越 来 越 多 的 信息 流量 和 日 益 复 杂 
的 应 用 程序 要 求 。 


3.1 传输 层 的 技术 


传输 层 用 于 高 效 地 传输 应 用 数据 。 网 络 层 只 负责 将 应 用 层 的 数据 传输 到 目的 节 
点 ， 并 不 了 解 传 输 的 是 怎样 的 应 用 数据 ， 0 
控制 要 求 ， 而 传输 层 恰恰 能 够 填补 网 络 层 的 这 些 缺 点 。 它 是 网 络 层 和 应 用 层 之 
间 的 桥梁 ， 能 够 确保 通信 的 灵活 性 。 


i 


3.1.1 通过 端口 号 划分 服务 器 进程 


传输 层 是 根据 应 用 程序 控制 通信 的 层 ， 网 络 层 则 是 确保 不 相 邻 的 节点 (不 在 同 
一 个 网 段 中 的 节点 ) 也 能 够 相互 连接 的 层 。 传 输 层 除了 能 确保 这 种 连接 性 以 
外 ， 还 能 够 添加 传输 报头 ， 达 到 按 应 用 程序 要 求 控制 通信 的 目的 。 在 传输 层 执 

0 被 分 段 的 数据 叫 作 报 文 段 。 传 输 层 上 定义 了 各 种 不 同 
分 段 方 武 。 


传输 层 是 OSI 参考 模型 中 目下 向 上 数 的 第 四 层 。 如 果 有 是 发 送 数据 ， 首 先 要 接收 
来 自 会 话 层 的 应 用 数据 ， 然 后 将 其 分 段 并 交 给 网 络 层 ; 如 果 是 接收 数据 ， 首 先 
要 接收 来 自 网 络 层 的 数据 包 ， 执 行 一 个 和 分 段 恰好 相反 的 处 理 后 再 交 给 会 话 
层 。 下 面 就 详细 解说 一 下 这 两 种 处 理 。 


我 们 先 来 看 发 送 数据 。 来 自 会 话 层 的 应 用 数据 中 仅 包含 用 户 输 入 的 信息 和 输出 
输入 画面 的 信息 ， 并 没有 应 用 程序 的 相关 信息 。 这 样 是 无 法 知道 该 应 用 程序 需 
要 怎样 的 通信 控制 以 及 使 用 了 哪 项 服务 的 。 因 此 ， 为 了 解决 这 个 问题 ， 人 们 在 
传输 层 为 数据 添加 传输 报头 信息 并 进行 分 段 ， 然 后 再 将 其 交 给 网 络 层 ， 如 图 
3.1.1 所 示 。 其 中 ， 会 使 用 TCP 或 UDP 协议 来 表示 数据 需要 怎样 的 通信 控制 ， 
使 用 端口 号 来 表示 数据 使 用 了 哪 项 服务 。 如 果 应 用 数据 较 大 ， 就 把 数据 按 MSS 

(Maximum Segment Size， 最 大 报 文 段 长 度 ) 切 分 分 段 。 关 于 MSS 的 内 容 详 见 
3.1.1.3 节 。 


图 3.1.1 在 传输 层 为 数据 添加 传输 报头 


我 们 再 来 看 接收 数据 的 步骤 。 先 是 在 网 络 层 番 返 IP 报头 使 数据 变 为 报 文 段 的 形 
了 EE 二 。 接 下 来 在 传输 层 凶 掉 报 文 段 的 传输 报头 使 其 还 
原 为 应 用 数据 ， 最 后 区 给 会 话 层 。 这 些 处 理 步 又 和 发 送 数据 时 是 恰好 相反 的 


3.1.1.1 ”传输 层 使 用 TCP 和 UDP 两 种 协议 


传输 层 是 网 络 和 应 用 程序 之 间 的 桥梁 。 应 用 程序 对 网 络 的 要 求 是 多 种 多 样 的 ， 
传输 层 将 这 些 要 求 分 为 即时 性 (实时 性 ) J 分 别 通过 不 同 的 协 
议 来 实现 。 要 求实 时 性 的 应 用 程序 使 用 UDP (User Datagram Protocol， 用 户 数 
据 报 协议 ) ， 要 求 可 靠 性 的 应 用 程序 使 用 TCP (Transmission Control Protocol， 
传输 控制 协议 ) ， 使 用 哪 一 类 协议 在 卫 报头 中 的 协议 编号 字段 中 定义 。TCP 和 
UDP 的 差别 见 表 3.11。 


表 3.1.1 TCP 和 UDP 的 差别 就 是 可 靠 性 和 实时 性 的 差别 


用 UDP 进行 快速 传送 


UDP 用 于 语音 通话 (VoIP，Voice over IP) 、 多 目 通信 视频 发 布 、 名 称 解析 、 
DHCP 等 追求 即时 性 的 应 用 程序 。 它 专注 于 传送 本 身 ， 不 具备 可 靠 性 ， 可 省 去 
党 琐 的 步骤 ， 即 时 性 非常 高 ， 其 报 文 格式 如 图 3.1.2 所 示 。 


图 3.1.2 UDP 的 报 文 格式 


由 于 UDP 追求 即时 性 ， 封 包 格 式 也 较为 简单 ， 只 有 8 字 记 (64 位 ) 。 客 户 端 用 
UDP 对 数据 进行 封包 然后 源源 不 断 地 传送 ， 并 不 管 服务 器 方面 如 何 。 服务 硕 收 
到 数据 后 利用 UDP 报头 中 所 含 的 报头 长 和 校 验 和 去 检查 数据 是 否 正确 ， 检 验 合 

格 后 才 真 正 接收 数据 (图 3.1.3) 。 


UDP 客户 庙 UDP 服务 器 
图 3.1.3 “UDP 会 源源 不 断 地 传送 数据 
用 TCP 进行 可 靠 传送 


TCP 用 于 邮件 、 文 件 的 发 送 以 及 Web 浏览 器 等 追求 可 靠 性 的 应 用 程序 ， 其 报 文 
格式 如 图 3.1.4 所 示 。 a 拟 的 连接 通路 ， 在 其 中 进行 
这 个 连接 通路 叫 作 “连通 ”。 通 过 TCP 进行 数据 交换 的 方法 比较 复 

， 在 3.1.1.2 节 中 会 详细 说 明 。 粗 略 地 讲 ， 就 是 每 次 传送 数据 时 都 要 进行 一 
个 : “我 要 发 送 了 哦 "我 收 到 了 哦 "的 双向 确认 。 由 于 每 次 都 是 一 边 确认 一 边 传 送 ， 
可 靠 性 非常 高 。TCP 报头 中 包含 着 诸多 信息 ， 如 图 3.1.3 所 示 。 


| 可 TCP SACK Permitted Option: True | 


@ End of Option List (EOL) 


图 3.1.5 ”TCP 报头 中 包含 着 诸多 信息 


由 于 TCP 追求 可 靠 性 ， 封 包 格式 相对 复杂 ， 长 达 20 字 入 (160 位 ) 。 而且 它 使 
i A 0 0 行 匹 配 确认 ， 并 高 效 地 收发 数 
色 3.1.6) 。 


去 ]> 二 


TCP 客户 端 < TCP 服务 器 


我 收 到 了 跌 ! 


图 3.1.6 用 TCP 进行 可 靠 传送 
通过 端口 号 识别 应 用 程序 


传输 层 还 有 一 个 很 大 的 作用 ， 那 就 是 识别 应 用 程序 (服务 ) ，。 前 面 提 过 ， 只 
有 网 络 层 ， 数 据 就 能 够 传送 到 目标 节点 。 然 而 ， 接 收 数据 的 节点 其 实 并 不 清楚 
应 怎样 处 理 该 数据 ， 这 时 就 要 用 到 传输 层 。 传 输 层 可 以 通过 端口 号 识别 出 数据 
属于 哪个 应 用 程序 。 端 口号 和 应 用 程序 是 匹配 对 应 的 关系 ， 传 输 层 认 出 目的 端 
口号 之 后 就 能 知道 它 属于 哪 一 个 应 用 程序 。 也 就 是 说 ， 传 输 层 能 够 根据 匹配 对 
应 的 信息 判断 出 应 将 数据 交 给 哪 一 个 应 用 程序 。 


工 严格 地 说 并 不 是 识别 应 用 程序 本 身 ， 而 是 识别 使 用 该 应 用 程序 的 服务 进程 。 为 了 浅显 易 懂 ， 本 章 将 “应 
程序 ”和 “服务 进程 ” 视 为 同一 事物 。 


[ Telnetd 


图 3.1.7 利用 目的 端口 号 识别 数据 所 属 的 应 用 程序 


端口 号 的 数字 范围 在 0 ~ 65535 (16 位 ) 之 间 。 根据 进一步 细 分 的 数字 范围 和 
使 用 用 途 ， 人 们 将 端口 分 为 系统 端口 、 用 户 端口 、 动 态 和 /或 锥 有 端口 这 三 种 类 
型 。 


表 3.1.2 端口 号 分 为 三 种 


端口 号 范围 种 类 


(公认 端口 


| Ws 


49152~65535 动态 和 a 生 随机 分 配 


系统 端口 


端口 号 为 0 一 1023 的 端口 是 系统 端口 ， 更 常用 的 叫 法 是 “公认 端口 ”。 系 统 
端口 由 ICANN 中 的 IANA (Intemet Assigned Numbers Authority) 部 门 管 
理 ， 一 般 说 来 和 服务 器 应 用 程序 是 对 应 的 关系 。 例 如 ，TCP/80 是 用 于 
Web 浏 贤 器 的 HTTP， 在 HITP 服务 硕 中 使 用 ，UDP/123 是 用 于 时 间 同 步 的 
NTP (Network Time Protocol) ， 在 NTP 服务 器 中 使 用 。 典 型 的 系统 端口 见 
表 3.1.3。 


表 3.1.3 系统 端口 用 于 普通 的 服务 器 应 用 程序 


端口 号 TCP UDP 
EE ee 上 
21 FTP (控制 ) 一 
22 SSH 3 
Be 
EE 上 
53 DNS (区 域 传送 ) DNS (名 称 解析 ) 
67 es DHCP (服务 器 ) 


69 TFTP 
80 HTTP 一 
mm 上 上 
123 -一 NTP 


Tey NetBIOS 名 称 服务 NetBIOS 名 称 服务 
138 = NetBIOS 数 据 报 服务 


。 用 户 端口 


端口 号 为 1024 ~ 49151 的 端口 是 用 户 端口 。 与 系统 端口 一 样 由 IANA 管 
理 ， 与 生产 商 开发 的 特有 服务 器 应 用 程序 是 一 一 对 应 的 关系 。 例 如 ， 
TCP/3389 用 于 微软 Windows 的 远程 桌面 ，TCP/3306 用 于 MySQL 的 数据 库 
连接 。 典 型 的 用 户 端口 见 表 3.1.4。 


表 3.1.4 用 户 端口 用 于 特有 的 应 用 程序 


TCP UDP 
Microsoft SQL Server 一 
Oracle SQL Net Listener -一 
a Cisci HSRP 
3306 MySQL Database System 一 
Microsoft Remote Desktop Protocol 一 
Apache Tomcat 一 
10050 Zabbix-Agent Zabbix-Agent 
Zabbix-Trapper Zabbix-Trapper 
动态 和 /或 私有 端口 


端口 号 为 49152 ~ 65535 的 端口 是 动态 和 / 或 私有 端口 ， 不 受 IANA 管理 ， 
客户 端 在 生成 报 文 段 时 会 随机 生成 源 端 口号 。 将 上 述 范 围 内 的 端口 号 随机 
分 配给 源 端 口 ， 客 户 端 就 能 知道 应 将 数据 返回 给 哪 一 个 应 用 进程 。 随 机 分 
配 的 端口 号 因 OS 而 异 ， 例 如 ，Windows Vista/7/8 是 49152 一 65535，Linux 
则 默认 为 32768 ~ 61000。Linux 使 用 的 随机 端口 号 范围 在 IANA 指定 的 动 
态 和 /或 私有 端口 的 范围 之 外 。 


SSH 
[TeraTerm ) 


图 3.1.8” 源 端口 号 是 由 客户 端 随机 分 配 的 
下 面 的 图 例 显 示 了 接收 和 发 送 数据 时 端口 号 与 应 用 程序 的 对 应 关系 。 


图 3.1.9 ”端口 号 是 和 应 用 程序 关联 在 一 起 的 
通过 标志 互相 传达 连接 的 状态 


TCP 通过 “控制 位 ”管理 连接 的 状态 。 控 制 位 由 长 度 为 6 位 的 标志 构成 ， 如 表 
3.1.5 所 示 ， 每 个 位 都 代表 一 定 的 含义 。 


关于 这 些 6 位 标志 的 用 法 将 在 后 面 详细 说 明 。 
表 3.1.5 ”控制 位 由 长 度 为 6 位 的 标志 构成 


控制 位 


Re | aK Ta | Rr | Sw | sm 
i VA ~ 


SY 
表示 紧急 的 | 表示 确认 响应 的 | 将 数据 交 给 应 用 程 | 强制 断 开 连 接 | 释放 连接 的 | 结束 连接 的 
标志 标志 序 的 标志 的 标志 标志 下 志 


A 


3.1.1.2 TCP 的 工作 原理 比较 复杂 


为 了 保证 连接 的 可 靠 性 ，TCP 执行 的 处 理 都 比较 复杂 。 本 书 将 TCP 的 处 理 分 
成 “建立 连接 时 ”连接 时 ”和 “结束 连接 时 ”三 个 阶段 ， 分 别 进行 讲解 。 


TCP 始 于 三 次 握手 


首先 我 们 来 看 建立 连接 时 。TCP 连接 必须 从 三 次 握手 开始 ， 我 们 I 以 把 三 次 握 
en " 这 里 有 三 个 要 点 ， 分 别 是 标志 、 序 列 叶 和 选 
项 尖 。 


三 次 握手 的 标志 必须 按照 SYN、SYN/ACK、ACK 的 前 后 顺序 依次 变化 才 

了 J。 这 一 系列 作业 完成 之 后 ， 客 户 端 和 服务 器 变 为 ESTABLISHED (已 建 
立 ) 的 状态 ， 生 成 一 个 叫 作 TCP 连接 的 虚拟 通信 路 径 。 前 面 说 过 ， 三 次 握 

入 TCP 中 毕竟 只 相当 于 打招呼 ， 所 以 实际 上 它 并 不 执行 应 用 数据 的 交 


。 序列 号 


人 序列 号 是 表示 数据 顺序 的 编号 ， 客 户 端 按照 这 些 编号 去 排列 数 


初始 序列 号 用 于 发 送 应 用 数据 ， 它 是 在 三 次 握手 中 决定 的 。 开 始 连 接 的 和 
点 随机 选择 一 个 序列 号 (x) 并 发 送 SYN 包 ， 对 方 节点 收 到 SYN 包 后 同样 
随机 选择 一 个 序列 号 (y) 并 回应 SYN/ACK 包 。 。 接 下 来 最 初 的 节点 在 序列 
号 中 写 入 x+1， 在 ACK 号 中 写 入 y+1， 最 后 发 送 ACK 包 。x+1 和 y+1 就 是 
这 两 个 节点 各 自 的 初始 序列 号 。 


三 次 握手 中 的 序列 号 和 ACK 号 仪 仅 只 是 为 了 确定 初始 序列 号 而 存在 的 ， 它 
们 和 交换 应 用 数据 时 要 用 到 的 序列 号 和 ACK 号 有 着 微妙 的 不 同 。 


选项 头 起 着 重要 的 作用 ， 那 就 是 决定 后 续 需要 交换 的 应 用 数据 的 大 小 。 应 
用 数据 太 大 的 话 是 无 法 一 次 性 发 送 的 ， 必 须 切 分 成 一 定 的 大 小 分 别 发 送 才 
行 。 切 分 区 域 的 最 大 长 度 叫 作 MSS (Maximum Segment Size， 最 大 报 文 段 
长 度 ) ， 三 次 握手 将 MSS 植 入 选项 头 中 进行 数据 交换 。 当 双方 节点 的 MSS 
值 不 一 样 时 ， 取 小 的 那 一 方 使 用 。 


标志 按 SYN、SYN/ACK、 
ACK 的 顺序 依次 变化 


选项 序列 号 “| 标志 | 是 的 | 源 襄 吕 

汀 口 
MSS= 49152 
1460 


SYN-RECEIVED 


SR A 
图 3.1.10 通过 三 次 握手 建立 连接 
一 次 性 地 高 效 发 送 数 据 


通过 三 次 握手 建立 起 连接 之 后 ， 就 可 以 发 送 应 用 数据 了 。 为 了 能 既 保 持 数据 的 
es TCP 中 有 着 很 多 的 传输 控制 机 制 ， 本 书 将 介绍 
其 中 的 三 个 核心 部 分 ， 分 别 为 确认 机 制 、 超 时 重 传 机 制 和 流量 控制 机 制 。 


。 确认 机 制 


TCP 通过 序列 号 和 ACK 号 相互 配合 运作 来 保证 数据 的 可 靠 性 ， 这 项 机 制 叫 
作 确 认 机 制 。 


序列 号 是 表示 数据 顺序 的 编号 ，TCP 必须 按照 顺序 对 数据 进行 发 送 和 接 

收 ， 因此 我 们 可 以 根据 序列 号 去 判断 当前 已 经 发 送 了 多 少数 据 。 初 始 序列 
号 是 在 三 次 握手 时 随机 分 配 的 ， 用 当前 的 序列 号 减 去 初始 值得 到 的 数字 就 
能 告诉 我 们 已 经 发 出 了 多 长 的 数据 。 顺 便 提 一 句 ， 数 据 以 字 节 为 长 度 单 
位 ， 序 列 号 的 32 位 (232 字 节 ， 即 4 吉 字 节 ) 用 完 之 后 即 归 零 。 


图 3.1.11 序列 号 表示 数据 的 顺序 


ACK 号 表示 接收 信息 的 节点 当前 已 经 收 到 了 多 少数 据 ， 它 会 返回 一 个 “序列 
号 + 数据 长 度 "的 数值 ， 相 当 于 告诉 对 方 “ 我 已 经 收 到 了 这 么 多 (序列 号 + 
J 度 ) 的 数据 哦 ， 把 下 一 个 发 给 我 吧 ! ”*ACK 号 就 是 即将 发 送 的 数据 的 
衣 列 入 


图 3.1.12 ACK 号 告诉 我 们 当前 接收 节点 已 经 接收 了 多 少数 据 
。 超时 重 传 机 制 


确认 机 制 让 数据 能 够 按照 顺序 排列 ， 但 是 ， 数 据 并 不 总 是 能 够 按照 顺序 收 
发 或 排列 的 。 比 如 ， 当 设备 发 生 故 障 时 报 文 段 可 能 会 意外 地 消失 ; 作为 优 
先 级 控制 (QoS) 的 结果 ， 报 文 段 也 可 能 会 被 刻意 丢弃 。 这 时 候 我 们 就 要 用 
到 TCP 中 请 求 重新 传送 丢失 数据 的 功能 ， 这 项 功能 就 叫 作 超时 重 传 。 


超时 重 传 也 要 用 到 序列 号 和 ACK 号 。 假 设 服务 器 发 送 了 第 二 个 数据 (序列 
号 : x) ， 但 该 数据 不 知 在 何 处 丢失 了 ， 这 样 客 户 端 就 不 会 返回 确认 响应 的 
ACK 包 (ACK 号 : x) 。 遇 到 这 种 情况 ， 服 务 器 在 等 待 一 定时 间 之 后 就 会 
重新 发 送 数据 (序列 号 ，x) ， 这 个 等 待 的 时 间 叫 作 RTO (Retransmission 

Time Out， 重 传 超 时 ) ，RTO 是 根据 报 文 段 的 往返 时 间 RTT (Round Trip 

Time， 往 返 延迟 时 间 ) 自动 计算 出 来 的 。 


。 流量 控制 机 制 


确认 机 制 和 超时 重 传 机 制 都 属于 提高 通信 可 靠 性 的 功能 ， 不 过 在 通信 中 ， 
可 靠 性 固然 重要 ， 速 度 也 同等 重要 。 因 此 TCP 中 还 配备 了 流量 控制 功能 
它 能 够 在 确保 可 靠 性 的 同时 提高 传输 效率 。 


流量 控制 是 一 种 用 于 在 连接 上 发 送 大 量 报 文 段 的 功能 。 如 果 每 收 到 一 个 报 
文 段 束 要 返回 一 个 确认 啊 应 ， 传 输 效 率 是 无 法 提高 的 ， 所 以 流量 控制 批量 
接收 报 文 段 ， 收 到 后 仅 返 回 一 个 ACK 响应 包 ， 传 输 效 率 因 此 而 提高 。 在 流 
量 控制 中 起 着 重要 作用 的 头 是 “窗口 大 小 "这 个 概念 。 收 到 的 应 用 数据 先是 
被 暂时 存 入 接收 缓冲 区 ， 然 后 才 被 交 给 应 用 程序 。 目 的 节点 在 返回 ACK 包 
的 时 候 ， 将 接收 缓冲 区 的 空余 容量 以 窗口 大 小 * 的 概念 通知 对 方 ， 防 止 发 
来 的 数据 太 大 而 发 生 沪 出 。 源 市 护 得 知 缓冲 区 的 空余 容量 之 后 ， 在 批量 发 
送 报 文 段 的 时 候 束 会 将 数据 大 小 控制 在 窗口 大 小 的 范围 之 内 。 


ESTABSLISHED 


图 3.1.14 流量 控制 能 提高 传输 效率 


发 送 结束 之 后 应 完全 关闭 TCP 连接 
应 用 数据 发 送 完毕 之 后 应 该 完全 关闭 和 连接。 如果 未 能 完全 关闭 导致 存在 残余 连 
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将 会 无 法 建立 新 的 连接 。 


这 一 步 有 两 个 关键 要 素 ， 分 别 是 FIN 标志 和 TIME-WAIT 。 


。FIN 标志 


结束 连接 的 时 候 要 用 到 FIN 标志 。FIN 标志 表示 “我 再 也 没有 要 发 送 的 数据 

了 哦 ”的 意思 ， 由 上 层 应 用 程序 提供 。FIN 可 能 由 发 送 方 和 接收 方 的 任何 一 

方 节 点 发 出 ， 发 出 之 后 ， 接 下 来 的 标志 依次 分 别 为 FIN/ACK、ACK、 

i 和 ACK。 请 注意 ， 这 里 要 比 开始 连 接 时 更 加 小 心 ， 不 能 弄 错 它们 
4 网 予 o 


TIME-WAIT 


前 面 讲 过 ， 建 立 连接 的 时 候 ， 依 次 经 过 SYN、SYN/ACK、ACK 这 几 个 标 
志 之 后 连接 就 成 立 了 。 然 而 ， 天 闭 连 接 的 时 候 ， 两 端的 节点 却 不 是 马上 就 
关 掉 的 。 节 点 收 到 FIN 标志 后 会 等 待 一 段 TIME-WAIT 的 时 间 ， 超 过 该 时 
er 这 是 为 了 避免 重复 使 用 同一 序列 号 和 端口 号 ， 相当 于 上 了 
J 瑟 WY © 


在 RFC 中 ，TIME-WAIT 的 推荐 时 长 为 最 大 报 文 段 奉命 (MSL，Maximum 
Segment Lifetime) 的 两 倍 。MSL 是 120 秒 ， 因 此 TIME-WAIT 的 推荐 时 长 
为 240 秒 。 然 而 在 实际 环境 中 240 秒 稍微 长 了 一 上 点 ， 可 能 会 号 致 本 地 端口 

资源 的 枯竭 ， 所 以 人 们 在 设置 时 常常 会 刻 音 将 其 缩短 一 点 。 顺便 提 一 句 ， 
TIME- WAIT 的 默认 时 长 因 OS 的 种 类 和 版 本 而 异 ， Wind Owe erver 
2003/2008 为 120 秒 ，Linux OS 则 为 60 秒 。 
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图 3.1.15 用 FIN 关闭 连接 
3.1.1.3 MTU 和 MSS 的 差异 在 于 对 象 层 不 同 


MTU (Maximum Transmission Unit， 最 大 传输 单元 ) 和 MSS (Maximum 


Segment Size， 最 大 报 文 段 长 度 ) 是 两 个 支撑 网 络 的 重要 元 素 ， 然 而 关于 它们 的 
Wl 问题 也 很 容易 在 它们 这 里 滋生 ， 下 面 我 们 就 来 理 理 这 部 分 的 头 


a 


MTU 和 MSS 都 是 表示 数据 大 小 的 用 语 ， 不 过 它们 所 指 的 对 象 层 并 不 一 样 。 
MTU 指 的 是 网 络 层 中 的 数据 大 小 。 利 用 网 络 发 送 应 用 数据 的 时 候 ， 我 们 不 能 将 
太 大 的 数据 一 次 性 地 发 出 去 ， 而 应 该 对 数据 进行 切 分 之 后 一 点 点 地 发 出 去 。 这 
时 候 用 到 的 数据 大 小 就 是 MTU。 不 同 的 传输 媒介 有 着 不 同 的 MTU 值 ， 以 太 网 
默认 的 MTU 为 1500 字 节 。 


与 MTU 相对 ，MSS 指 的 是 应 用 程序 方面 ( 会 话 层 到 应 用 层 ) 的 数据 大 小 。 
如 果 不 对 MSS 进行 特别 的 设置 或 者 不 使 用 客户 端 VPN 软件 ，MSS 的 值 就 是 用 
根据 “MTU 一 40 字 节 (TCP/IP 报头 ) > 这 个 公式 算出 来 的 数字 。 例如 ， 以 太 网 的 


MTU 值 为 1500 字 节 ， 那 么 它 的 MSS 值 就 是 1460 字 节 。 


应 用 数据 ( 5380 字 节 ) 
区 


给 MSS 加 上 TCP/IPR 
”报头 就 成 了 MTU 


图 3.1.16 MSS = MTU 一 TCP/IP 报头 (40 字 节 ) 


有 些 环境 中 的 某 些 路 段 MTU 值 偏 小 ， 在 这 样 的 环境 中 MTU 和 MSS 很 容易 滋 
生 问 题 ?。 我 们 知道 网 络 无 法 发 送 大 于 MTU 的 数据 包 ， 于 是 ， 遇 到 某 些 路 段 
MTU 值 偏 小 的 环境 时 ， 为 了 让 数据 大 小 不 超出 MTU 值 的 范围 ， 我 们 必须 在 路 
由 器 或 防火 墙 施加 一 定 的 处 理 才 行 。IP 报头 的 标志 字段 中 DF (Don't 
Fragment， 禁 止 分 片 ) 位 的 值 不 同 ， 处 理 方法 也 会 有 所 不 同 。 下 面 分 别 介绍 一 下 
DF 为 0 和 DF 为 1 时 的 情况 。 

和 当 我 们 使 / TT 东 日 本 /西日本 提供 的 “B FLET'S” 或 “FLET'S ADSL" 通 信服 务 时 ，PPP 之 间 、ISP 之 间 


NN 
巡 柜 (系统 销 会 使 MTU 值 变 成 1454 字 节 。 较 之 以 太 网 的 MTU，FLET'S 部 分 的 MTU 值 更 小 ， 这 人 句 i 
面 的 “ 环 境 ” 就 是 指 类 似 这 种 民 情况 的 环境 。 


和 


人 丙 的 MTU 便 SETS 砚 的 MTU 休 以 坟 丙 的 MTU 全 
es 为 1454 字 节 Es 
MTU 
1454 字 市 
FLET'S 网 


“这 时 的 MTU 值 售 小 ， 国 此 下 做 一 定 、 
“处 再 的 活 ， 数 据 次 天 法 发 出 去 


图 3.1.17 网 络 无 法 发 送 大 于 MTU 的 数据 包 
DF 为 0 〈 人 允许 分 片 ) 的 数据 包 将 被 切 分 


DF 为 0 表示 该 数据 包 可 以 分 片 。 既 然 可 以 分 片 ， 那 我 们 就 分 片 好 了 。 这 样 ， 即 
使 某 个 路 段 的 MTU 值 比 较 小 ， 也 就 不 存在 问题 了 ， 只 要 将 数据 包 分 片 后 发 出 去 
即 可 。 如 有 果 一 定 要 说 有 什么 问题 的 话 ， 只 有 一 个 ， 那 就 是 分 片 处 理 的 负荷 问 
题 。 不 过 最 近 ， 路 由 器 和 防火 墙 的 规格 都 相当 高 ， 执 行 分 片 处 理 绰绰有余 ， 所 
以 我 们 完全 不 必 担 心 。 


MY 


出 口 处 的 MTU 值 比 
人 [RE 


tt 


图 3.1.18 若 DEF 为 0 则 直接 进行 分 片 处 理 

DF 为 1 (不 允许 分 片 ) 的 数据 包 可 有 三 种 办 法 解决 问题 

DF 为 1 表示 该 数据 包 不 可 分 片 。 既 然 不 可 分 片 ， 那 我 们 就 要 想 办 法 让 数据 包 不 
分 片 也 能 够 传送 ， 或 者 执行 一 个 使 数据 包 能 够 分 片 的 处 理 。 这 种 情况 下 ， 有 三 
种 办 法 可 供 选 择 。 


。 通 过 ICMP 获悉 MTU 的 值 


ICMP 是 一 个 不 仅 能 用 于 通 还 在 很 多 方面 都 默默 无 闻 地 做 着 贡献 的 
协议 ，MTU 也 会 用 到 它 。 这 部 分 按 顺 序 解 释 可 能 会 比较 容易 理解 ， 我 们 来 
看 下 面 的 流程 ，ICMP 是 按照 这 些 步骤 调整 MTU 的 。 


1 源 节 点 将 MTU 值 设 为 1500 字 节 并 发 出 数据 包 。 


2 一 路 由 器 将 数据 包 入 口 处 和 出 口 处 的 MTU 值 进行 比较 ， 如 果 出 口 处 的 

值 较 小 ， 就 通过 ICMP 将 该 值 报告 给 源 节 点 。 顺 便 提 一 句 ， 这 时 使 用 的 

ICMP 类 型 为 3 (Destination Unreachable， 目 的 地 无 法 到 达 ) ， 代 码 为 4 
(Fragmentation needed， 需 要 分 片 ) 。 


3 一 源 节 点 收 到 ICMP 后 ， 用 获悉 的 MTU 值 重 新 生成 数据 包 并 再 次 发 


[©] 


出 口 处 的 MTU 什 比 
人 入口 处 的 MTU 令 小 


pS 
Ne 
a 
Te3 通过 信息 Fragmentation 
4 一 nsedetd 将 出 台 处 的 MTU 
值 报 告 给 源 节 点 

1454 后 ， 再 次 
te = 


图 3.1.19 ”ICMP 将 下 一 跳 的 MTU 值 报 告 给 源 节点 


将 MTU 芒 改 为 


| 西 Ethernet I Sre: PE BE: 二 于 各 (00: id: 73: 9 De: 9). Dst: es C1:53:0b (e0:cb:4e:c1:53:0b) 
Intemet ProtDcolVersion disci 192.168,1.254 (192.168,1,254)| Dst: 192.168.1.20 (192.168;1.20) 
【= 、 


Type; 3 (Destination unreachable) 
Code: 4 (Fragmentation need >==000e 


Checksum; Oxicsd [correct] O20 
个 MI 全 


internet Protocol Version 4, Src: 192,168.1.20 (192.168.1.20) Dst: 107.20.239.103{107.20.24S;1034) 


Ob Aecl SS Ono0d 73882886080045c6 NS.., .1 
02 4024 28 00 00400!1 b9720088 0! fe co 85S:( 

Dr 140304 1c600000 D5 45 00 05dc01 bo ,, ,EE.,,.. 
10 DD 71 HG ce29 CO 68 01 146b 14 和 958 ¢c9 cd ),- .Kh 


图 3.1.20 通过 信息 Fragmentation needed 将 下 一 跳 的 MTU 值 报告 给 源 节 
点 


通过 ICMP 解决 分 片 问题 虽然 简单 易 屏 ,但 是 如 采 路 段 的 某 处 拒绝 ICMP， 
就 无 法 发 挥 作用 了 ， 我 们 务必 要 注意 这 一 点 。 


改写 DF 位 
接 下 来 介绍 改写 ( 清 零 ) DF 位 的 处 理 办 法 。 既 然 无 法 分 片 ， 那 么 我 们 想 办 


法 让 它 能 分 片 就 是 7。 是否 允许 分 片 由 DF 位 决定 ， 所 以 我 们 可 以 将 DF 位 
清 零 使 其 允许 分 片 ， 然 后 将 数据 包 分 片 并 发 送出 去 。 


图 3.1.21 将 DF 位 清 零 然 后 执行 分 片 处 理 
。 在 三 次 握手 中 将 MSS 值 改 小 


最 后 介绍 调整 MSS 值 的 办 法 ， 这 种 办 法 也 是 最 为 常用 的 。 我 们 知道 MTU 
= MSS 十 40 字 节 ， 所 以 ， 为 了 让 报 文 段 的 长 度 不 至 于 超过 MTU 值 ， 我 们 
也 可 以 将 MSS 的 值 改 小 ， 这 样 就 连 分 片 都 不 用 了 。MSS 由 三 次 握手 的 TCP 
选项 头 决定 ， 将 该 选项 头 中 所 含 的 MSS 值 改写 成 较 小 的 数字 ， 就 能 让 报 文 
段 的 长 度 保持 在 出 口 处 接口 的 MTU 值 范围 之 内 了 。 


es TU 什 尖 
1500 字 节 1463 字 第 入 站 处 的 MTU 值 小 


名 将 MSS 改 室 成 较 小 的 入 


EEE 


: : _@MSS 的 值 池 志 
a A ME ~ MSS TCRPIP MSS TCPIP S 一 ， 未 
| BY 一 IE 


图 3.1.22 ”改写 MSS 的 值 
3.1.2 ”用 防火 墙 字 卫 系 统 


在 传输 层 运作 的 主要 设备 是 防火 墙 。 防 火 墙 是 一 种 基于 网 络 层 (IP 地 址 ) 和 传 
输 层 (端口 号 ， 的 信息 来 控制 通信 的 设备 ， 它 遵照 预先 制定 的 规则 对 通信 进行 
甄别 ， 最 终 决 定 是 放行 还 是 拒绝 通过 ， 以 此 来 守卫 系统 。 


防火 墙 的 通信 控制 功能 叫 作 “状态 检测 ”。 状 态 检 测 是 防火 墙 的 一 项 核心 技术 ， 
非常 重要 ， 我 们 务必 好 好 掌握 它 的 工作 原理 。 


3.1.2.1 ”基于 连接 进行 控制 
状态 检测 是 基于 连接 表 的 信息 来 执行 的 。 连 接 表 由 *“ 源 / 目的 耳 地 址 ”协议 ”“ 源 


a 口号 ”和 “连接 状态 ”等 各 种 信息 构成 ， 在 该 表 中 可 以 看 到 都 有 哪些 通信 经 
过 其 中 。 


下 面 我 们 来 看 状态 检测 是 如 何 通 过 连接 表 工 作 的 。 首 先 来 理 清 一 下 网 络 环 境 和 
Ls 这 里 我 们 假设 客户 端 要 在 下 图 所 示 的 环境 中 通过 HTTP 去 访问 Web 
务 右 。 


| 外 部 | 内 部 | ee | 80 | 多 许 | 


人 E 
1.1,1.0/24 2.2.2.0/24 


图 3.1.23 有 助 于 我 们 了 解 状态 检测 的 结构 实例 


1 ~ ”防火 墙 通 过 外 部 接口 收 到 SYN 包 后 ， a 才 滤 规则 进行 对 照 ， 
发 现 与 第 一 个 条 目 相符 ， 于 是 允许 此 通信 通 


| 


图 3.1.24 ”防火 墙 首 先 会 查看 过 滤 规 则 


2 -~ ”人 允许 通信 通过 防火 墙 会 在 连接 表 中 建立 条 目 。 与 此 同时 ， 它 还 会 
动态 深 加 一 条 < 规则， 先 近 计 应 代 条 目的 返回 通信 。 然 后 ， 再 将 包 转发 给 Web 服 


务 


内 部 
22.2.0/24 


图 3.1.25 ”在 连接 表 中 建立 条 目 ， 同 时 添加 一 条 允许 返回 通信 的 规则 


3 Web 服务 器 生成 一 个 响应 SYN 包 的 SYN/ACK 包 ， 并 将 其 返回 给 客户 
端 。 这 条 通信 本 来 是 会 被 拒绝 的 ， 但 由 于 状态 检测 在 2 中 添加 了 一 条 人 允许 返回 
通信 的 规则 ， 于 是 得 以 成 功 发 送 。 


图 3.1.26 ”允许 返回 通信 的 规则 生效 ， 通 信 成 功 


4 客户 端 生 成 一 个 响应 SYN/ACK 包 的 ACK 包 ， 并 将 其 返回 给 Web 服务 
器 。 防 火 墙 凭借 该 ACK 包 上 断定 客户 端 和 服务 器 之 间 的 连接 已 建立 ， 接 下 来 在 连 


接 上 开始 交换 应 用 数据 。 


二 | 确 百 : | 二 | 
[Ack| 80 |50%0|2.22211.111] 


图 3.1.27 收 到 返回 的 ACK 包 后 ， 防 火 墙 断定 连接 已 建立 


5 ~ ， 连接 建立 之 后 ， 状 态 检测 机 制 会 去 监控 新 建 条 目 是 否 真 的 有 用 武之 地 。 

如 果 超 过 一 定时 间 未 被 使 用 ， 该 条 目 就 会 和 允许 返回 的 通信 规则 一 起 被 强制 性 

删除 。 条 目的 周期 (条目 自 生成 到 被 删除 的 时 间 ) 往往 取决 于 使 用 的 设备 和 

0 
认 清 楚 


po 


图 3.1.28 ”监控 创建 的 连接 是 否 有 用 


6 一 ”应 用 数据 发 送 完 毕 之 后 ， 必 须 将 连接 完全 关闭 才 行 。 防 火 墙 在 最 后 会 根 
据 客户 端 和 服务 器 之 间 交 换 的 报 文 段 序列 (依次 为 FIN/ACK、ACK、 
FIN/ACK、ACK) ， 将 连接 条 目 和 人 允许 返回 的 通信 规则 一 起 删 掉 。 


an 


CC rer 
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图 3.1.29 ”将 连接 条 目 和 人 允许 返回 的 通信 规则 一 起 删 掉 
3.1.2.2 ”状态 检测 和 包 过 滤 之 间 的 区 别 
网 络 设备 拥有 的 通信 控制 功能 大 致 可 以 分 为 两 种 ， 一 种 是 防火 墙 具 备 的 状态 检 


测 功能 力 一 种 则 是 路 由 器 和 3 交换 机 具备 的 包 过 小 功 能 。 二 者 常常 被 混 为 一 
谈 ， 但 实际 上 它们 还 是 有 区 别 的 ， 防 火 墙 的 通信 控制 功能 不 可 能 完全 被 路 由 器 
或 L3 交换 机 所 替代 。 二 者 之 间 的 最 大 差异 在 于 是 基于 连接 还 是 基于 数据 包 。 


前 面 已 经 介绍 过 ， 状 态 检 测 将 通信 视 为 一 种 连接 并 对 其 进行 灵活 的 控制 。 实 际 
上 ， 除 此 之 外 它 还 会 监 控 连 接 状 态 是 否 前 后 呼应 ; 如 果 出 现 自 相 矛盾 的 情况 就 
会 断 开 连接 。 举 个 例子 ， 如 果 没 有 收 到 SYN 包 就 不 应 该 有 ACK 包 发 过 来 ， 万 
一 发 过 来 了 就 表示 出 现 了 问题 。 状 态 检 测 对 类 似 的 非 正 常 通 信 状 态 起 着 监控 作 
用 ， 一 旦 发 现 问题 就 会 立刻 将 其 阻 断 。 


人 
笠 的 ACK 包 就 会 将 其 朋 灯 ”人 4= 


防火 墙 


客户 端 前 后 呈 记 Web 服务 器 
图 3.1.30 ”防火 墙 会 检查 连接 状态 是 否 前 后 呼应 


包 过 滤 则 将 通信 视 为 一 种 数据 包 。 每 次 收 到 数据 包 后 ， 该 功能 都 会 将 其 和 过 滤 
规则 进行 对 照 ， 然 后 决定 是 允许 还 是 拒绝 该 通信 。 到 这 里 为 止 ， 包 过 滤 的 机 制 
都 是 和 状态 检测 一 样 的 ， 它 们 的 不 同 之 处 在 于 如 何 对 待 返回 的 通信 。 状 态 检 测 
对 返回 通信 采取 的 是 动态 等 候 的 机 制 ， 包 过 滤 则 没有 那么 灵活 ， 它 需要 将 返回 
通信 作为 一 个 单独 的 返回 通信 ， 另 外 给 出 许可 才 行 。 


路 由 器 、L3 交换 机 
As 
.ap 


客户 端 


Web 服务 器 
图 3.1.31 对 于 返回 通信 ， 包 过 滤 必 须 另 外 给 出 许可 


假设 现在 我 们 想 要 人 允许 从 某 个 客户 端 通 往 Web 服务 器 的 HTTP 通信 。 使 用 状态 
级 测 时 ， 只 要 有 “人 允许 从 该 客户 端 通 往 web 服务 器 的 HTTP” 这 一 个 规则 ， 就 能 
自动 允许 返回 的 通信 ; 而 使 用 包 过 滤 时 ， 除 了 允许 从 该 客户 端 通 往 web 服务 器 
的 HTTP 之 外 ， 还 必须 允许 从 Web 服务 器 通 往 客户 端的 返回 通信 才 行 。 而且， 
允许 返回 通信 的 规则 还 具有 致命 的 易 受 攻击 性 ， 因 为 在 从 Web 服务 器 通 往 客户 
端的 通信 中 ， 源 端口 为 TCP/80， 目 的 端口 为 OS 随机 选 出 的 TCP/1024 一 
65535， 这 使 得 包 过 小 必须 对 大 范围 的 目的 端口 号 都 给 出 许可 。 这 在 数据 安全 上 
存在 着 重大 的 问题 ， 万 一 服务 器 被 劫持 ， 后 果 将 不 堪 设 想 。 
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图 3.1.32 返回 通信 本 身 非 常 容易 受到 恶意 攻击 


有 些 设备 可 能 会 有 一 个 Established 的 可 选项 ， 人 允许 人 们 将 带 有 ACK 或 FIN 标志 
的 包 视 为 返回 通信 发 放 许 可 。 但 是 恶意 破坏 者 只 要 想 办 法 操纵 了 标志 ， 就 能 锁 
过 滤 规 则 的 空子 ， 所 以 这 个 可 选项 在 数据 安全 上 同样 存在 着 问题 。 


| 外 部 | 内 部 | ANY | 80 | 一 | 人 允 许 | 
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图 3.1.33 “即便 使 用 Established 可 选项 ， 也 无 法 完全 控制 通信 
当然 


然 ， 出 于 对 成 本 的 考虑 或 者 设备 自身 的 原因 ， 有 时 候 我 们 也 不 得 不 使 用 包 过 
滤 功 能 ， 这 时 候 一 定 要 清醒 地 认识 到 在 数据 安全 上 它 极 易 受 到 恶意 攻击 这 一 


A] 


3.1.2.3 ”防火 墙 在 不 断 进步 


ee 以 现在 进行 时 的 节奏 不 断 发 展 和 进步 的 设备 。 过 去 有 0 

必须 借助 于 专用 设备 才能 实现 ， 而 如 仿 的 防火 墙 不 仅 能 包揽 这 些 功 能 ， 还 能 
将 防守 范围 大 到 应 用 程序 的 层面 。 面 对 日 益 复 杂 的 网 络 安全 威胁 ， 防 火 墙 越 
发 能 够 灵活 地 应 对 ， 充 分 发 挥 它 巨大 的 作用 。 


下 面 ， 本 书 将 从 两 个 方面 来 讲解 防火 墙 技术 的 进步 。 一 个 是 “功能 的 完善 ”， 男 
个 是 “防守 范围 的 扩大 ”。 


UTM 集 多 种 功能 于 一 身 


其 中 一 项 进步 叫 作 UTM (Unified Threat Management， 统 一 威胁 管理 ) 。 简 单 地 
说 ，UTM 就 是 一 种 万 能 的 设备 ， 只 要 拥有 一 台 UTM， 那 么 除了 通信 控制 之 
外 ，VPN (Virtual Private Network， 虚 拟 专用 网 络 ) 、IDS (Intrusion Detection 
System， 入 侵 检 测 系 统 ) /IPS (Intrusion Prevention System， 入 侵 防 御 系 统 ) 、 
反 病 毒 、 反 垃圾 邮件 和 内 容 过 滤 等 功能 就 一 应 俱全 了 。 以 往 人 们 必须 借助 专用 
设备 才能 实现 各 种 不 同 的 防御 功能 ， 现 在 却 只 要 一 台 设 备 就 足够 了 ， 于 是 设备 
成 本 和 管理 成 本 大 大 降低 ，UTM 也 因此 获得 了 迅速 的 普及 。 


a 
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UTM ( Unified Threat Management ) 


图 3.1.34 UTM 集 多 种 功能 于 一 身 


那么 ， 在 这 里 我 们 就 对 UTM 中 的 各 种 功能 做 一 个 大 致 的 说 明 ， 只 是 扼要 地 介绍 
而 已 ， 具 体 使 用 的 协议 以 及 功能 详情 请 参考 相应 的 使 用 说 明 书 。 


。 VPN 


VPN 是 能 够 在 互联 网 上 建立 加 密 的 虚拟 专线 ， 连 接 诸多 站 点 和 用 户 的 功 
能 。 它 大 致 可 分 成 两 类 ， 一 类 是 点 对 点 VPN， 男 一 类 则 是 远程 访问 VPN 。 


点 对 点 VPN 是 将 诸多 站 点 连接 起 来 的 一 种 VPN。 以 往 人 们 是 用 一 对 一 的 专 
用 布线 去 连接 站 点 的 ， 这 种 方法 的 确 比 较 安 全 也 容易 理解 。 然 而 随 着 距离 


的 增加 ， 也 要 增加 支出 的 费用 ， 而 且 费 用 还 极其 高 兄 ， 这 个 不 利 因素 太 大 
了 ， 于 是 点 对 点 VPN 应 运 而 生 。 点 对 点 VPN 在 互联 网 上 建立 虚拟 的 专用 
线路 ， 能 像 实 体 专线 一 样 将 站 点 连接 起 来 ， 却 只 需要 人 们 承担 普通 的 互联 


网 上 网 费 而 已 ， 因 此 大 大 降低 了 成 本 。 
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VPN 


页 得 承担 互 葡 歼 上 网 费 ， 能 能 


否 东 阅 的 站 点 连接 起 案 


图 3.1.35 ”点 对 点 VPN 将 站 点 连接 起 来 


| 在 UTM 之 间 建 立 
三 条 埃 拟 弛 专 碟 


远程 访问 VPN 用 于 移动 用 户 的 远程 访问 。 随 着 时 代 的 进步 ， 人 们 的 工作 方 
式 也 发 生 了 变化 。 想 象 一 下 ， 员 工 因 公 外 出 时 ， 在 结束 工作 之 后 特意 返回 
公司 继续 干 活 有 意义 吗 ? 效率 只 会 更 低 吧 ? 这 时 候 如 果 使 用 远程 访问 
VPN， 通 过 VPN 软件 连接 到 公司 网 络 ， 员 工 就 能 像 自 己 在 公司 里 一 样 正常 
工作 了 。 远 程 访 问 VPN 大 致 可 分 为 IPsecVPN 和 SSL-VPN 两 种 ， 以 往 


IPsec VPN 是 主流 ， 但 由 于 和 NAPT 环境 之 间 存 在 一 定 冲 突 而 且 无 法 用 于 有 
代理 服务 器 的 环境 ， 现 在 已 经 在 逐步 被 SSL-VPN 所 取代 。 


图 3.1.36 ”远程 访问 VPN 可 以 从 咖啡 馆 或 自己 家 里 连接 到 工作 网 络 环境 


IDS/IPS 


IDS/IPS 是 通过 观察 通信 情况 检测 出 是 否 有 入 侵 或 攻击 行为 ， 或 是 对 入 侵 和 


攻击 进行 防御 的 一 种 功能 。IDS 只 能 检测 ， 


全 已 
HEE° 


IPS 则 兼 具 检测 和 防御 的 双重 功 


IDS/IPS 以 一 种 叫 作 签名 的 形式 保存 着 所 有 可 疑 的 通信 类 型 ， 签 名 相当 于 防 
病毒 软件 中 的 病毒 码 文 件 ， 通 过 上 自动 或 手动 更 新 。IDS/IPS 将 实际 的 通信 和 
签名 进行 对 照 以 检测 和 防御 入 侵 。 最 近 ， 网 络 攻击 的 手段 越 来 越 复杂 ， 很 
难 机 械 性 地 判断 对 象 是 否 真 的 在 企图 入 侵 。 日 本 大 多 是 先 用 IDS 检测 一 

遍 ， 然 后 视 具体 情况 交 给 IPS 去 阻 断 攻 击 。IDS/IPS 的 运行 管理 极其 重要 ， 


制 处 理 。 


愉 到 符合 其 市 某 个 
芝 型 就 将 其 月 断 


Er 
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图 3.1.37 IPS 能 阻 断 攻 击 
反 病 毒 


反 病 毒 是 一 种 对 抗 病毒 的 功能 ， 和 IDS/IPS 同样 是 基于 签名 运作 的 。 它 将 收 
到 的 通信 在 UTM 内 部 和 签名 进行 对 照 并 处 理 。 签 名 可 能 是 自动 更 新 ， 也 可 
能 是 手动 更 新 。 


在 实施 UTM 时 常常 有 管理 人 员 问 “有 了 这 个 我 们 就 不 需要 防 病毒 软件 了 
吧 ? ”回答 是 否定 的 ， 因 为 UTM 仅 对 经 过 它 的 通信 进行 监 探 。 举 个 例子 ， 
当 我 们 在 自己 家 里 或 公用 无 线 LAN 环境 中 将 已 受到 病毒 感染 的 PC 连 到 公 
司 内 部 LAN 的 时 候 ，UTM 是 起 不 了 任何 作用 的 。 数 据 安 全 必须 采取 多 层 
防御 的 方式 ， 这 是 一 个 基本 原则 ， 所 以 我 们 万 万 不 可 掉以轻心 ， 要 对 接 题 
而 至 的 网 络 威胁 严阵以待 才 行 。 


这 里 保存 着 各 种 
岳 次 的 类 型 


兵 委 符合 其 中 基 个 
关 狸 就 将 其 但 浙 


必须 采取 
多 属 防 和 | 


图 3.1.38 ” 反 病 毒 功能 基于 签名 阻 断 病毒 
反 垃 圾 邮件 


有 反 垃 圾 邮件 十 一 种 对 抗 垃圾 邮件 的 功能 ， 古 基于 签名 和 信誉 运作 的 。 签 名 
和 反 病 毒 、IDS/IPS 一 样 ， 是 一 个 相当 于 病毒 码 文 件 的 资料 库 。 反 垃圾 邮件 
功能 会 根据 邮件 中 所 含 的 网 址 、 图 像 、 用 语 等 各 种 要 素 去 判断 该 邮件 是 否 
为 垃圾 邮件 。 信 誉 指 的 是 根据 邮件 源 IP 地 址 去 判断 该 邮件 是 否 为 垃圾 邮件 
的 一 种 技术 ， 该 技术 会 将 发 送 垃圾 邮件 的 邮件 服务 器 的 源 卫 地 址 保存 到 特 
定 的 数据 库 里 ， 一 有 需要 就 对 照 该 数据 库 来 判断 对 象 是 否 为 垃圾 邮件 。 


对 反 垃 圾 邮件 功能 来 说 ， 运 行 管 理 也 是 非常 关键 的 。 同 样 的 邮件 未 必 对 所 
有 人 来 说 部 是 垃圾 邮件 ， 在 某 些 人 看 来 它 也 许 是 有 用 的 ， 但 在 男 一 些 人 看 
人 。 考虑 到 这 样 的 情况 ， 我 们 应 根据 不 同 的 环境 进行 适 
| 基 qj 诉 4 人 5 


内 容 过 滤 


内 容 过 滤 是 一 种 限定 可 浏览 网 站 的 功能 。UTM 将 各 种 网 站 的 网 址 分 门 别 类 

(如 分 为 违法 性 、 犯 罪 性 较 高 的 网 站 ， 成 人 色情 网 站 ， 等 等 ) ， 并 将 这 些 
网 址 保存 在 特定 的 数据 库 中 。 过 滤 时 ， 将 用 户 浏览 的 网 址 和 数据 库 进行 对 
照 ， 然 后 决定 对 该 网 站 是 允许 还 是 拒绝 。 


对 内 容 过 滤 来 说 ， 运 行 管理 同样 也 至 关 重 要 。 同 样 的 网 站 未 必 对 所 有 企业 
来 说 都 是 无 用 的 ， 反 过 来 ， 也 未 必 都 是 有 用 的 。 因 此 ， 实 施 这 项 功能 之 后 
我 们 还 应 根据 不 同 的 环境 做 一 些 定制 处 理 。 


这 蛙 保存 着 各 各 
三 垃 级 邮件 的 源 | 


图 3.1.40 ”使 用 内 容 过 滤 功 能 限定 可 以 浏览 的 网 站 
新 一 代 防 火 墙 能 灵活 控制 应 用 程序 并 使 其 可 视 化 
还 有 一 项 技术 进步 ， 就 是 新 一 代 防 火 墙 。 新 一 代 防 火 墙 大 多 具备 UTM 功能 ， 所 
以 也 可 以 说 它 是 UTM 发 展 进步 的 一 个 结果 。 新 一 代 防 火场 有 两 个 特点 ， 一 个 是 
能 够 识别 应 用 程序 ， 男 一 个 是 可 视 化 。 
。 识别 应 用 程序 
新 一 代 防 火 墙 不 是 将 端口 号 当 作 应 用 程序 进行 识别 ， 而 是 根据 多 个 要 素 去 


识别 应 用 程序 并 建立 过 滤 规 则 。 应 用 程序 正在 变 得 越 来 越 复 洒 。 以 HTTP 
为 例 ， 如 今 ，HTTP 早已 不 局 限于 网 站 浏览 ， 而 是 在 收发 文件 和 实时 交换 信 


息 等 方面 也 发 挥 着 作用 。 于 是 人 们 不 再 只 单纯 地 将 TCP/80 当 作 HTTP 去 分 
门 别 类 ， 而 是 根据 网 址 、 内 容 信息 、 文 件 后 组 等 多 种 信息 对 应 用 程序 进行 
更 加 深层 的 细 分 。 举 个 例子 ， 以 往 只 要 允许 HTTP， 我 们 就 能 够 浏览 
Facebook、Twitter 这 些 网 站 了 ， 然 而 在 新 一 代 防 火 墙 中 ， 即 便 是 同一 个 
HTTP 通信 ， 我 们 也 可 以 根据 实际 需要 允许 Facebook 但 拒绝 Twitter， 像 这 
样 基于 应 用 程序 对 它们 分 别 进行 控制 。 


HTTP 


其 于 应 用 程序 。。 上- 过 流 规划、 Ce 
分 别 进行 控制 :| Facebook | 允许 | O Facebook 
[Twitter 拒 强 eon 
HTTP 


新 一 代 防 火 墙 
识别 应 用 程序 吉 户 扣 
, 全 广 首 


图 3.1.41 新 一 代 防火 墙 能 够 更 加 深入 地 识别 应 用 程序 
可 视 化 


新 一 代 防 火 墙 的 男 一 个 特点 是 通信 的 可 视 化 。 对 管理 人 员 来 说 ， 谁 在 使 用 
什么 应 用 程序 、 使 用 的 频率 有 多 高 ， 这 些 都 是 非常 重要 的 信息 。 新 一 代 防 
火 墙 能 够 将 识别 出 来 的 通信 和 制 成 图 表 并 显示 出 来 ， 看 起 来 一 目 了 然 。 也 许 
有 的 人 会 想 ， 可 视 化 就 这 么 点 作用 啊 ? 可 别 小 看 它 ， 实 际 上 这 点 作用 能 帮 
上 我 们 的 大 忙 。 作 为 一 项 管理 作业 ， 获 取 大 量 的 统计 信息 并 将 它们 整理 成 
Excel 表 其 实 比 我 们 想象 的 要 嘛 烦 许 多 ， 而 且 手 工 去 做 的 话 往往 只 能 得 到 并 
不 完美 的 图 表 ， 利 用 可 视 化 功能 则 能 够 为 我 们 省 去 这 些 日 常 性 的 管理 工 

作 ， 物 有 所 值 。 
防火 墙 这 一 行业 的 发 展 还 处 于 摸索 时 期 ， 目 前 多 少 有 些 混沌 无 序 ， 但 笔者 
相信 最 合理 的 状态 一 定 会 在 某 个 阶段 出 现 。 所 以 ， 现 阶段 我 们 一 定 要 在 弄 
清 需要 防火 墙 的 哪些 功能 、 又 应 如 何 使 用 这 些 功 能 之 后 ， 再 去 做 出 选择 。 
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3.1.3 ”通过 负载 均衡 器 分 散 服 务 器 的 负 蓓 


下 面 介绍 在 传输 层 运作 的 男 一 种 设备 一 一 负载 均衡 器 。 人 负载 均衡 器 是 一 种 利用 
网 络 层 (IP 地 址 ) 和 传输 层 (端口 号 ) 的 信息 为 多 台 服 务 器 分 配 连 接 的 设备 。 
负载 均衡 郁 上 设 有 虚拟 服务 右 ， 虚 拟 服务 器 收 到 连接 后 按照 预先 制 定 的 规则 将 
连接 分 配给 各 台 服 务 器 ， 以 此 来 分 散 服 务 占 的 处 理 人 负 何 。 


3.1.3.1 目的 NAT 是 服务 器 负载 均衡 技术 的 基础 


目的 NAT 是 服务 器 负载 均衡 技术 的 基础 。 首 爷 ， 我 们 就 来 看 看 目的 NAT 是 如 
何 实现 的 。 


目的 NAT 是 根据 连接 表 中 的 信息 执行 的 ， 这 个 连接 表 和 用 于 防火 墙 的 连接 表 在 

要 素 上 有 些 不 太一 样 。 用 于 负载 均衡 器 的 连接 表 由 “ 源 IP 地 址 :端口 号 ”虚拟 IP 
地 址 (转换 之 前 的 I 了 P 地址 ) : 端口 号 ”实际 卫 地址 (转换 之 后 的 卫 地址 ) : 

a 0 0 
务 器 o 
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ER 将 负荷 分 散 到 三 全 


; ”| Web 服务 器 四 ) 


192.168.1.1 


关 间 要 


图 3.1.42 有 助 于 我 们 了 解 服务 器 负载 均衡 技术 的 结构 实例 


1 -= 负载 均衡 器 通过 虚拟 服务 器 收 到 客户 端的 连接 。 这 时 候 目 的 卫 地 址 是 虚 
和 
于 O 


192.168. 1.1 192.168 1.2 192.168. 1.3 


ETE 


图 3.1.43 ”客户 端 访问 虚拟 服务 器 


2 一 ”负载 均衡 器 将 目的 他 地 址 (虚拟 IP 地 址 ) 转换 为 与 之 对 应 的 负载 均衡 服 
务 器 的 实际 JP 地址。 转换 的 实际 IP 地 址 能 够 基于 服务 器 状态 、 连 接 状 态 等 各 种 
转换 之 后 的 实际 JP 地 址 也 会 被 写 
入 连 接 过 :在 连接 夫 中 接受 售 
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| 天 | 自 的 护 | “ 釉 刀 E | 上 日 的 江 M | 源 人 P 


1 saaeant| so0o0%0 | a0 eeeeeeeeee 


4, | 


192.168.1.1 192.168,12 192 168. 1.3 


图 3.1.44 ”负载 均衡 器 将 虚拟 的 目的 IP 转换 为 实际 的 IP 地 址 


3 -~ ” 接 下 来 我 们 再 看 返回 的 通信 。 服 务 器 收 到 连接 后 对 其 进行 应 用 处 理 ， 然 
后 会 将 处 理 结果 返回 给 已 成 为 默认 网 关 的 负载 均衡 器 。 这 里 负载 均衡 器 要 做 一 
个 和 发 送 时 恰好 相反 的 转换 处 理 ， 也 就 是 要 对 源 了 P 地 址 (前 面 是 针对 目的 地 
址 ) 执行 NAT 处 理 。 负 载 均衡 器 在 连接 表 中 管理 发 送 通信 的 信息 ， 并 根据 该 信 
县 向 客户 端 返回 通信 。 


1.1.1.1:50000 192.168.1.1:80 
22225100 |3.333:80|192169.13:80 


A 


192.168, 1.1 192.168, 1.2 192.168, 13 


EE 


图 3.1.45 ”返回 给 负载 均衡 器 


E 
| 


一 P| 县 的 | | 3 油 疯 | 地 P| 有 的 JP | 本 冉 三 | 目的 网 
L 3333 | 1111 | #80 | soon | | 3333 | 2222 | 80 | sto00 | 


| 111 1:50000 |3333.80|19216811a0| TCP | 
| 222.251000 |3333i80|19216813:90 | Ter | 


| -11; : 
4 起 册 有 


Web 访 务 如 上 Web 让 秀 党 人 


192.168. 1.1 192.168.1.2 


ETE 


图 3.1.46 参照 连接 表 转 换 源 IP 
3.1.3.2 ”通过 健康 检查 监控 服务 器 的 状态 


转换 的 实际 IP 地 址 取决 于 两 个 因素 ， 一 个 是 健康 检查 ， 另 一 个 是 负载 均衡 方 
下 。 我 们 就 是 要 利用 这 两 项 功能 ， 来 决定 将 虚拟 IP 地 址 转换 成 哪个 真实 的 卫 地 


。 通 过 三 种 健康 检查 监控 服务 器 


健康 检查 这 种 功能 用 来 监控 负载 均衡 服务 器 的 状态 。 我 们 知道 ， 将 连接 分 
配给 已 经 宕 机 的 服务 器 是 没有 意义 的 ， 它 不 会 给 出 任何 响应 。 为 了 避免 出 
现 这 种 毫 无 意义 的 局 面 ， 人 负载 均衡 器 会 通过 监控 报 文 定期 检查 服务 器 是 否 
正常 运作 ， 一 旦 测 出 宕 机 ， 就 会 将 该 服务 器 排除 到 负载 均衡 对 象 之 外 。 有 
些 生产 商 称 之 为 "健康 监控 ?或 ” (服务 器 ) 探测 ”什么 的 ， 都 是 指 同 一 种 功 
能 。 健 康 检查 大 致 可 分 为 L3 检查 、L4 检查 和 1L7 检查 三 种 ， 分 别 是 针对 不 
同 的 层 实施 检查 。 


。 工 3 检查 


L3 检查 通过 ICMP 来 检查 IP 地 址 是 否 正常 。 假 设 未 做 元 余 配置 的 NIC 出 
现 了 故障 或 者 缆 线 发 生 断 离 ， 服 务 器 就 无 法 返回 ICMP 包 ， 这 时 候 负 载 均 
衡器 会 将 该 服务 器 隔离 到 负载 均衡 对 象 之 外 。 如 果 工 3 检查 未 能 过 关 ，L4 
以 上 的 所 有 服务 就 无 法 提供 ， 因 此 ，L4 检查 和 LL7 检查 也 将 无 法 过 关 。 


从 闲 均 衡 梁 负 旨 均 稀 改 
9 .Ol> :1 .Oa 不 会 到 加 Ranly 


ET 


4 
ee 
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的 骤 务 内 中 出 现 了 NIC 
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图 3.1.47 L3 检查 是 针对 IP 地 址 的 检查 


。 工 4 检查 


L4 检查 通过 三 次 握手 来 检查 端口 号 是 否 正 常 。 假 设 在 Web 服务 器 中 默认 使 
用 的 是 TCP/80 端口 ， 负 载 均衡 器 会 对 该 端口 定期 执行 三 次 握手 以 确认 响应 
的 情况 。 如 果 IIS 或 Apache 的 进程 中 断 ，TCP/80 的 响应 就 会 中 断 ， 这 时 负 
载 均 衡器 会 将 该 服务 器 隔离 到 负载 均衡 对 象 之 外 。 应 用 程序 是 在 服务 器 进 
程 上 工作 的 ， 因 此 ， 如 果 L4 检查 未 能 过 关 ， 那 么 L7 检查 也 将 无 法 过 关 。 


负载 均 敌 器 通过 三 次 握手 
WE 


: : i 
in ACK 3 


:3 
Frnt 


SYN/ACK 


图 3.1.48 L4 检查 是 针对 端口 号 的 检查 


。 工 7 检查 


L7 检查 中 的 L7 指 的 是 第 七 层 ， 也 就 是 应 用 层 。L7 检查 查 通 过 3 真实 的 应 用 通 
信 来 检查 应 用 程序 是 否 正 常 。 例 如 ， 网 络 应 用 程序 的 状态 是 以 状态 码 的 形 
式 返回 的 ， 负 载 均 衡器 监控 的 就 是 这 个 状态 码 。 网 络 应 用 程序 如 果 出 现 故 
障 ， 就 会 返回 一 个 表示 异常 情况 的 状态 码 ， 这 时 负载 均衡 器 就 会 将 该 服务 
器 隔离 到 负载 均衡 对 象 之 外 。 


负载 均 宛 闻 理 上 
A 
田 风 = 可 于 从 Ry a 


rm) | Cee [es 200 OK GEI | GET findex html | html le | A04Not F | 404Not Found | 


CE 


EE 


人 
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图 3.1.49 L7 检查 是 针对 应 用 程序 的 检查 
要 根据 应 用 程序 和 服务 器 规格 变换 负载 均衡 方式 


人 负载 均衡 方 式 指 的 是 “参考 什么 信息 ， 将 负荷 分 散 到 哪些 服务 器 上 去 *”。 负载 均 
衡 方式 不 同 ， 通 过 目的 NAT 转换 的 目的 IP 地址 也 就 不 同 。 


负载 均衡 方式 大 致 可 以 分 为 静 仿 和 动 仿 两 种 。 静 态 负 载 均衡 方式 根据 预 允 的 设 
置 来 决定 将 负 硬 分 散 到 哪些 服务 器 上 去 ， 并 不 关心 服务 器 的 实际 状况 如 何 ; 动 
仿 人 负载 均 衡 方式 则 根据 服务 器 的 实际 状况 决定 将 人 负 柏 分 获 到 哪些 服务 器 上 去 。 
实际 上 ， 人 负载 均衡 方式 有 更 多 更 细 的 分 类 ， 适 用 于 各 种 不 同 的 设备 ， 不 过 本 书 
仅 介绍 它们 当中 具有 代表 性 的 两 个 细 化 分 类 。 


表 3.1.6 ”负载 均衡 方式 分 为 静态 和 动态 两 种 


负载 均衡 方式 
轮 询 照 顺 序 分 散 负 和 共 
加 权 和 比例 居 加 权 和 比例 分 散 负 蓓 


最 少 连 接 数 将 负 丛 分 散 给 连接 数 最 少 的 服务 器 
最 短 响应 时 间 将 负 蓓 分 散 给 响应 速度 最 快 的 服务 器 


。 轮 询 


轮 询 方式 将 收 到 的 请 求 (Request) 按照 顺序 分 配给 负载 均衡 服务 器 ， 属 于 
静态 负载 均衡 方式 。 具 体 说 来 就 是 依次 分 配给 服务 器 (UD 、 服 务 器 (2 、 服 务 器 
@.…….. 原 理 非常 简单 ， 所 以 人 们 容易 预测 到 下 一 个 连接 ， 管 理 起 来 也 很 方 
便 。 当 负载 均衡 服务 器 的 规格 都 一 样 并 且 每 次 处 理 的 时 间 都 较 短 时 ， 轮 询 
方式 是 极 有 用 武之 地 的 。 然 而 如 果 不 是 这 样 的 环境 ， 比 如 服务 器 的 规格 参 
差 不 齐 ， 或 者 该 环境 需要 能 够 保持 会 话 (会 话 保持 功能 ) ， 那 我 们 就 不 能 


人 不假思索 地 分 配 连接 了 ， 否 则 负载 均衡 的 效率 会 非常 糟糕 ， 这 一 点 一 定 要 
注意 。 
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服务 器 的 规格 都 一 样 
时 该 方式 非常 有 效 


图 3.1.50 轮 询 方式 是 按照 顺序 分 配 
加 权 和 比例 


加 权 和 比例 方式 预先 给 每 台 服 务 紫 设置 好 比例 ， 然 后 根据 整体 的 比例 情况 
分 配 和 连接 ， 属 于 静态 负载 均衡 方式 。 采 用 轮 询 方式 时 ， 服 务 右 即使 规格 较 
低 也 能 够 分 到 连接 。 而 加 权 和 比例 方式 则 是 将 规格 较 高 的 服务 器 设置 为 高 
比例 ， 将 规格 较 低 的 服务 器 设置 为 低 比例 ， 其 结果 是 比例 较 高 的 服务 器 能 
够 优先 获得 连接 分 配 。 在 负载 均衡 服务 器 规格 参差 不 齐 的 环境 里 ， 这 种 方 
式 能 够 发 挥 较 大 的 作用 。 


加 权 和 比例 方式 常常 作为 各 种 负载 均衡 方式 的 一 个 可 选项 出 现 ， 当 环境 中 
ed F 上 时， 人们 往往 将 它 和 其 他 负载 均衡 方式 一 起 使 用 以 
达到 最 住 


日 


Web 服务 器 @ 


Web 服务 器 中 


图 3.1.51 根据 比例 分 配 
最 少 连 接 数 


最 少 连接 数 方式 将 连接 分 配给 当前 联机 数量 最 少 的 服务 器 ， 属 于 动态 负载 
均衡 方式 。 采 用 这 种 方式 时 ， 人 负载 均衡 器 会 监测 负载 均衡 服务 器 的 联机 数 
， 选 择 收 到 连接 时 联机 数量 最 少 的 ， 也 就 是 处 理 负 荷 最 小 的 那 台 服 务 
器 ， 然 后 将 连接 分 配给 它 。 


在 下 面 这 两 种 环境 中 进行 负载 均衡 时 ， 采 用 这 种 方式 非常 有 效 : 应 用 程序 
为 需要 长 时 间 联 机 的 HTTP/1.1 或 FTP 等 ， 要 保持 会 话 (使 用 会 话 保 持 功 
能 ) 以 保证 在 一 定时 间 内 一 直 向 同一 台 服 务 器 传送 信息 。 


il 


图 3.1.52 “分配 时 考虑 连接 数 是 否 均衡 ， 使 各 台 服 务 器 的 连接 数 趋向 一 至 
最 短 响应 时 间 


人 属于 动态 负载 均 衔 方 

式 。 无 论 是 什么 服务 器 ， 一 旦 无 法 处 理 全 量 信 息 ， 反 应 就 会 变 得 迟钝 ， 最 

其 响应 时 何方 式 利 省 的 就 是 这 个 床 理 采用 这 种 方式 时 ， 负载 均衡 器 会 根 

据 客 户 端的 请 求 和 服务 器 的 回复 去 检查 服务 器 的 响应 时 间 ， 选 择 收 到 连接 

时 响应 最 快 的 那 台 服 务 器 ， 然 后 将 连接 分 配给 它 。 由 于 这 种 方式 能 够 根据 

和 所 以 在 服务 器 规格 参差 不 齐 的 环 
弟 有 交 
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将 连接 分 配给 当前 响应 
速度 最 快 的 服务 器 


-全 二 导报 条 加 顾 肥 二 的 
,响应 速 并 


前 面 的 处 至 结束 之 后 ， 
响应 迷 得 符 变 忆 


图 3.1.53 ”将 连接 分 配给 响应 速度 最 快 的 服务 器 
通过 会 话 保持 将 会 话 持续 分 配给 同一 台 服 务 器 


会 话 保持 功能 将 应 用 程序 的 同一 会 话 持续 分 配给 同一 台 服 务 器 。 也 许 你 会 想 ， 
既然 是 一 种 负载 均衡 技术 ， 那 为 什么 会 持续 分 配给 同一 台 服 务 器 呢 ? 这 不 矛盾 
吗 ? 事实 上 ， 从 全 局 出 发 来 看 ， 这 种 方式 的 确 能 够 起 到 均衡 负载 的 作用 。 


对 某 些 应 用 程序 来 说 ， 如 果 不 将 一 系列 的 处 理 都 放 在 同一 台 服 务 器 中 进行 ， 就 
无 法 保证 该 处 理 能 够 前 后 呼应 ， 购 物 网 站 就 是 一 个 很 好 的 例子 。 在 购物 网 

站 ,“ 放 入 购物 车 ”付款 ”这 一 系列 的 处 理 必 须 在 同一 台 服 务 器 上 进行 ， 不 可 能 在 
服务 器 山中 将 商品 放 入 购物 车 却 在 服务 器 (中 付款 。 如 采 “ 放 入 购物 车 ”是 在 服务 
器 (中 处 理 的 ， 那 么 付款 也 必须 仍 在 服务 器 山中 处 理 。 这 时 候 束 要 求 我 们 使 用 会 


话 保持 功能 ， 它 能 根据 特定 的 信息 将 会 话 持续 分 配给 同一 台 服 务 器 ， 使 < 放 入 购 
物 车 和 “付款 ”这 一 系列 的 处 理 都 能 在 同一 台 服 务 器 中 完成 。 


文 持 会 话 保持 功能 的 后 台 是 会 话 保持 表 3“。 会 话 保持 表 记 录 着 连接 中 的 特定 信息 
以 及 分 配 的 服务 器 ， 使 得 后 续 的 连接 能 够 依然 分 配给 同一 台 服 务 器 。 会 话 保持 
表 中 记录 的 信息 多 种 多 样 ， 具 体 记 录 什 么 信息 则 取决 于 记录 方式 。 下 面 ， 本 书 
就 介绍 两 种 比较 常用 的 会 话 保持 功能 。 


| 并 不 是 通过 会 话 保持 表 去 处 理 Cookie 会 话 保持 (Insert 模式 ) 的 ， 请 仔 旨 


a 


上 认 设备 的 设计 规 


互联 网 


图 3.1.54 通过 会 话 保 持 将 会 话 持续 分 配给 同一 台 服 务 器 


。 源 IP 地 址 会 话 保持 


正如 其 名 ， 源 IP 地 址 会 话 保持 是 一 种 基于 源 IP 地 址 将 会 话 持续 分 配给 同一 
台 服 务 器 的 会 话 保持 。 这 个 应 该 很 容易 理解 ， 例 如 ， 当 源 卫 地 址 是 1.1.1.1 
时 将 会 话 持续 分 配给 服务 器 中 ， 当 源 PP 地 址 是 2.2.2.2 时 将 会 话 持续 分 配给 
服务 器 (2)。 如 果 对 方 是 在 互联 网 上 公开 的 虚拟 服务 器 ， 那 么 ， 由 于 连接 的 
源 卫 地 址 是 全 世界 的 全 球 耻 地 址 ， 所 以 从 全 局 上 看 它 的确 能 够 起 到 分 散 负 
谷 的 作用 。 我 们 设置 分 配 持续 时 间 时 应 考虑 应 用 程序 的 时 效 ， 一 般 来 说 ， 
程序 的 时 效 稍微 长 一 点 就 能 保证 处 理 能 够 前 后 呼应 、 协 调 一 
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;| Web 服务 器 中 Web 服务 吕 @ | 


192.168. 1.1 192.168; 1.3 


ET 


图 3.1.55 ”如 果 源 IP 地 址 相同 ， 就 将 会 话 分 配给 相同 的 服务 器 


源 IP 地 址 会 话 保持 非常 容易 理解 ， 管 理 起 来 也 十 分 方便 。 然 而 ， 它 有 一 个 
足以 致命 的 弱点 ， 那 就 是 在 多 个 客户 端 共用 一 个 源 卫 地 址 的 环境 (如 
NAPT 环境 或 代理 环境 等 ) 中 无 法 分 散 负 和 荷 。 假 设 某 个 NAPT 环境 拥有 
1000 台 客 户 端 ， 那 么 这 1000 台 客 户 端的 负荷 都 会 被 分 配给 同一 台 服 务 器 ， 
这 样 的 话 负载 均衡 根本 无 从 谈 起 。 源 卫 地 址 会 话 保持 对 环境 是 非常 挑剔 
的 ， 因 此 我 们 一 定 要 仔细 确认 连接 环境 之 后 再 去 决定 是 否 使 用 。 


Cookie 会 话 保 持 (Insert 模式 ) 


Cookie 会 话 保持 (Insert 模式 ) 是 基于 Cookie 的 信息 将 负荷 持续 分 配给 同 
人 
父 O 


Cookie 指 的 是 通过 与 HITP 服务 器 之 间 的 通信 ， 将 特定 信息 暂时 保存 到 浏 
宽 器 中 的 一 种 机 制 ， 同 时 也 指 保存 这 些 信息 的 文件 。 每 个 FQDN (Fully 
Qualified Domain Name ， 完 全 合格 域名 ) 都 拥有 相应 的 Cookie。 最 开始 的 
HTTP 回复 决定 了 将 负 稚 分 配给 哪 台 服 务 器 ， 这 些 信息 就 包含 在 Cookie 之 
中 ， 由 负载 均衡 器 交 给 客户 端 4。 由 于 后 续 的 HITP 请 求 中 都 带 有 
和 
台 服 务 絮 。 


互联 网 


; | web 服务 器 中 Web 服务 器 O Web 服务 器 @ | 
: 192.168.1.1 192.168.1.2 192.168.1.3 ; 


图 3.1.56 最 开始 的 请 求 和 往常 一 样 被 分 散 出 去 


互联 网 


可 


;| Web 服务 器 人 Web 服务 器 人 @@ Web 服务 器 @) | ; 


192.168.1.1 192.168. 1.2 192.168.1.3 


» 
条 


图 3.1.57 在 最 开始 的 回复 中 装 入 Cookie 


Cookie 会 话 保 持 远 比 源 IP 地 址 会 话 保持 灵活 ， 然 而 它 也 有 不 足 之 处 。 首 先 
浏览 器 必须 能 够 接受 Cookie， 其 次 还 需要 在 应 用 程序 的 层面 执行 一 个 添加 

Cookie 的 处 理 ， 而 这 些 也 会 生成 一 定 的 处 理 负 荷 。 

所 以 ， 无 论 采 用 哪 种 会 话 保 持 都 是 优 缺 点 并 存 的 。 我 们 在 选择 的 时 候 应 从 

应 用 程序 的 设计 、 浏 览 器 环境 和 客户 端 连接 环境 等 多 个 角度 去 考察 具体 情 

况 ， 然 后 再 做 出 判断 。 


互联 网 


;| Web 服务 器 中 Web 服务 器 加 Web 服务 妖 @ | : 


192.168. 1.1 192.168, 1.2 192.168. 1.3 


图 3.1.58 ”后 续 的 请 求 中 都 带 有 Cookie 
| “实际 上 是 将 这 些 信息 作为 HTTP 报头 插入 。 
3.1.3.3 ”熟练 掌握 可 选 功能 
最 近 ， 负 载 均衡 器 的 使 用 范围 逐渐 延伸 到 了 应 用 层 ， 其 本 身 也 作为 "应 用 交付 控 
制 器 "获得 了 人 们 的 广泛 认可 。 在 它 背后 起 着 支撑 作用 的 并 不 是 负载 均衡 技术 本 
身 ， 而 是 丰富 多 彩 的 可 选 功能 ， 本 书 将 从 中 选 出 三 项 来 进行 说 明 ， 分 别 是 SSL 
加 速 功 能 、HTTP 压缩 功能 和 连接 汇集 功能 。 


SSL 加 速 功能 可 代为 执行 SSL 处 理 


SSL 加 速 是 一 种 帮助 服务 器 分 散 SSL (Secure Socket Layer， 安 全 套 接 层 ) 处 理 
ps 。SSL 是 一 种 实现 加 密 和 解密 的 技术 ， 能 防止 通信 被 自 改 或 者 遭遇 
窃听 。 


为 了 给 通信 加 密 或 解密 ，SSL 中 进行 着 大 量 的 处 理 5 ， 这 些 也 都 会 成 为 服务 器 的 
负 符 ， 于 是 人 们 想到 了 让 负载 均衡 器 去 直接 执行 这 些 处 理 的 办 法 。 客 户 端 只 需 
像 往常 一 样 通过 HTTPS (HTTP over SSL， 安 全 超 文本 传输 协议 ) 发 出 请 求 即 可 
6 。 负载 均衡 器 收 到 请 求 之 后 在 前 端 执 行 SSL 处 理 ， 将 信息 作为 HTTP 交 给 位 于 
后 端的 负载 均衡 服务 器 。 这 样 服务 器 就 不 再 需要 执行 SSL 处 理 了 ， 负 和 蓓 得 以 大 
大 减轻 ， 于 是 在 全 局 上 实现 了 负载 均衡 。 


| 关于 ssL 的 内 容 将 在 3.2.2 节 中 详细 解说 。 


| 6 HTTPS 指 的 是 经 过 SSL 加 密 的 HTTP 。 


下 使 用 SSL 加 湾 协 人 能 
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图 3.1.59 SSL 加 速 功 能 可 代为 执行 SSL 处 理 

通过 HTTP 压缩 功能 有 效 地 利用 带宽 

HTTP 压缩 功能 是 指 由 负载 均衡 器 代替 服务 器 进行 HTTP 压缩 处 理 的 一 项 功能 。 
生 


压缩 是 一 种 利用 HTTP 对 交换 的 内 容 进 行 压缩 的 技术 ， 可 以 实现 高 速 传送 
[0 低 带宽 。 


HTTP 是 一 种 非 对 称 通信 ， 来 自 服务 器 的 数据 量 要 比 来 自 客户 端的 数据 量 多 。 负 
载 均衡 器 将 来 自 服务 器 的 HTTP 数据 压缩 之 后 交 给 客户 端 ， 压 缩 时 只 选择 容易 
被 压缩 的 内 容 (.html、.js、css 等 ) ， 以 使 压缩 效果 达到 最 大 化 。 
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图 3.1.60 HTTP 压缩 功能 可 以 实现 高 速 传送 和 低 带 宽 


另外 ， 我 们 也 可 以 在 服务 器 上 激活 HTTP 压缩 功能 ， 但 是 那样 就 会 成 为 一 种 基 
于 软件 的 处 理 ， 可 能 会 给 CPU 市 来 镑 大 的 负 何 。 负 载 均 衡 硕 的 HITP 压缩 功能 
能 够 减轻 该 处 理 负 谷 ， 具 有 全 局 意义 上 的 负载 均衡 效果 。 


通过 连接 汇集 功能 减轻 服务 器 的 负荷 


连接 汇集 是 通过 负载 均衡 器 将 连接 汇集 起 来 的 一 项 功能 ， 连 授 人 处 理 的 处 理 负 和 葵 
就 其 单 体 来 说 是 非常 小 的 ， 然 而 在 大 规模 网 站 它们 就 会 积 少 成 多 ， 使 连接 处 理 
本 身 就 成 为 巨大 的 负荷 。 于 是 ， 人 们 利用 负载 均衡 器 在 前 端 对 客户 端 连接 进行 
终结 处 理 。 这 时 候 ， 负 载 均 衡器 还 会 男 建 一 个 不 同 于 服务 器 的 连接 ， 通 过 该 连 
， 。 这样， 服务 器 只 需要 保持 与 负载 均衡 器 之 间 的 连接 即 可 ， 人 负荷 得 
| 广 3 
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图 3.1.61 通过 连接 汇集 功能 减轻 连接 处 理 的 负荷 
3.2 ”从 会 话 层 到 应 用 层 的 技术 


前 面 我 们 已 经 学 习 了 物理 层 到 传输 层 各 层 的 知识 ， 接 下 来 要 学 习 从 会 话 层 到 应 
用 层 的 内 容 了 。 这 些 层 和 从 应 用 程序 中 衍生 出 来 的 应 用 层 协议 有 着 休戚 与 共 的 
关系 ， 本 书 将 从 网 络 这 个 角度 逐一 讲解 比较 常用 的 应 用 层 协议 。 此 外 ， 本 节 并 
不 涉及 用 于 运行 管理 的 协议 和 用 于 元 余 配 置 的 协议 ， 这 两 种 协议 将 在 第 四 章 和 
第 五 章 中 详细 说 明 。 


3.2.1 HTTP 支撑 着 互联 网 

在 诸多 应 用 协议 当中 ， 人 们 最 熟悉 的 应 该 就 是 HTTP (Hypertext Transfer 
Protocol， 超 文本 传输 协议 ) 。 离开 这 个 协议 互联 网 就 无 从 谈 起 ， 可 以 这 么 说 ， 
是 HITP 让 互联 网 获得 了 爆发 性 的 成 长 和 席卷 性 的 普及 。 


HTTP 原本 是 一 种 用 于 传输 文本 数据 的 协议 ， 然 而 如 今 它 早已 突破 最 初 的 定义 范 
畴 ， 在 收发 文件 和 实时 交换 消息 等 方面 也 发 挥 着 巨大 的 作用 。 


3.2.1.1 HTTP/1.0 和 HTTP/1.1 的 TCP 连接 用 法 大 相 径 庭 


片 


从 网 络 这 个 角度 来 看 ，HTTP 最 关键 的 地 方 在 于 它 的 版 本 。 


当前 有 两 个 比较 常用 的 HTTP 版 本 ， 一 个 是 HITP/1.0， 另 一 个 是 HTTP/1.1° 使 
用 哪 一 个 版 本 取决 于 我 们 对 浏览 器 和 服务 器 的 设置 。 最 近 的 浏览 器 和 服务 器 均 
默认 使 用 HTTP/1.1 版 本 ， 这 使 得 HTTP/1.1 成 为 了 主流 。 


这 两 个 版 本 的 TCP 连接 用 法 很 不 一 样 ， 极 大 地 影响 着 服务 器 的 负荷 程度 以 及 我 
们 应 该 选用 的 设备 规格 ， 下 面 就 来 详细 介绍 一 下 。 


HTTP/1.0 为 每 个 请 求 建立 连接 


我 们 可 以 在 RFC1945 中 看 到 公开 的 HTTP/1.0 规格 。HTTP/1.0 为 每 个 请 求 建立 
TCP 连接 ， 请 求 回 应 结束 之 后 再 将 其 断 开 ， 如 此 反复 。 举 个 例子 ， 如 果 革 个 网 
站 由 10 条 内 容 构 成 ，HTTP/1.0 就 会 建立 10 个 连接 ， 将 每 条 内 容 下 载 之 后 再 断 
开 连 接 ， 如 此 重复 多 次 。 当 客户 端 只 有 唯一 的 一 个 时 ， 这 种 处 理 并 不 会 带 来 很 
大 的 负荷 ， 但 是 当 客 户 端 多 达 1000 个 的 时 候 ， 情 况 就 大 不 一 样 了 。 积 水 成 渊 、 
聚 沙 成 塔 ， 这 样 下 去 最 终 会 给 服务 器 融 来 巨大 的 处 理 负 荷 。 除 此 以 外 ， 我 们 还 
需要 连接 更 多 的 防火 墙 和 负载 均衡 右 ， 作 业 量 只 会 有 增 无 城 。 


Internet 选项 


常规 | 安全 | 隐私 “| 内容 “| 连接 | 程序 | 高 级 


通过 代理 连接 使 用 HITP 1.1 
司 j 人 icrosoft WM 
启用 Java JIT 编译 器 (需要 重启 动 ) 
回 ] 启用 Javs 记录 
口 ] 启用 Javs 控制 台 (需要 重启 动 ) 
县 安全 
[| 不 将 加 密 的 页 存盘 
对 证 书 地 址 不 匹配 发 出 警 肯 *# 
口 关闭 浏览 器 时 清 宝 Internet 恪 时 次 件 夹 
检查 发 行商 的 证 书 是 否 吊 销 
& 门 | 棕 查 限 冬 中 评书 吊销 *# 
网 | ji 
炒 重 新 启动 TInternet Explorer 之 后 生效 


还 原 高 级 设置 笃 ) 
重 置 Internet Explorer 设置 


将 Internet Explorer 设置 重 置 为 默认 设置 。 
避 在 浏览 器 处 于 无 法 使 用 的 状态 时 ， 才 使 用 此 设置 。 


设 务 器 处 理 负 检 繁 得 ， 
而 且 环 会 产生 开销 


| i E22 5 tl 
图 3.2.2 HTTP/1.0 反复 执行 建立 连接 和 断 开 连接 的 作业 
HTTP/1.1 将 连接 用 到 极致 


我 们 可 以 在 RFC2616 中 看 到 公开 的 HTTP/1.1 规格 。HTTP/1.1 是 HTTP/1.0 的 升 
级 版 ， 里 面 有 很 多 设计 都 是 为 了 提高 HTTP 效率 而 开发 出 来 的 ， 其 中 有 一 个 叫 
作 持 和 久 连 接 ， 也 称 作 HTTP Keep- Alive。 持 和 久 连 接 在 HTTP/1.0 中 还 只 不 过 是 一 
项 扩展 功能 而 已 ， 但 在 HTTP/1.1 中 就 升级 成 了 标准 功能 。 持 久 连 接 是 将 建 好 的 
连接 用 到 极致 的 一 种 功能 ， 它 会 先 建立 一 个 TCP 连接 ， 然 后 在 这 个 连接 上 发 送 
多 个 HTTP 请 求 。HTTP/1.0 中 的 TCP 处 理 是 建立 连接 之 后 又 要 断 开 连接 ， 
HTTP/1.1 则 握 弃 了 这 一 规则 ， 大 大 减轻 了 服务 器 的 处 理 负 和 从。 与 此 同时 ， 还 避 
免 了 连接 更 多 的 防火 墙 和 负载 均衡 器 。 


可 以 同时 建立 的 TCP 连接 数 (最 大 连接 数量 ) 取决 于 浏览 器 及 其 版 本 。 如 果 使 
用 Internet Explorer 浏览 器 ， 按 照 RFC 的 推荐 ，7 以 前 版 本 的 TCP 连接 数 为 2， 
8 以 后 版 本 的 TCP 连接 数 则 升 为 6。 如 果 使 用 火狐 浏览 器 ， 则 TCP 连接 数 为 
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将 了 TCP 连接 1 
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图 3.2.3 HTTP/1.1 将 连接 用 到 极致 

3.2.1.2 HTTP 因 请 求 和 响应 而 得 以 成 立 

HTTP 是 一 种 客户 端 和 服务 器 之 间 的 交互 协议 ， 因 为 有 了 客户 端 (Web 浏览 器 ) 
的 HTTP 请 求 和 服务 器 的 HTTP 响应 ，HTTP 才 得 以 成 立 。 客 户 端 向 服务 器 发 出 
HTTP 请 求 ， 例 如 要 求 对 方 将 某 某 文件 发 过 来 或 者 通知 对 方 自己 要 将 某 某 文件 发 


回 给 客户 端 。 


处 理 始 于 客户 端 发 
出 的 HTTP 请 求 


ee 收 到 请 求 之 后 
- = 
/3 EE 
”HTP 
全 


客户 端 Web 服务 器 


图 3.2.4 HTTP 是 一 种 客户 端 和 服务 器 之 间 的 交互 协议 
HTTP 消息 由 消息 头 和 消息 体 构成 
在 HITP 中 交换 的 HTTP 消息 由 两 个 部 分 构成 ， 分 别 为 消息 头 和 消息 体 。 


消息 头 中 包含 着 
诸多 控制 信息 


消息 体 中 包含 着 
消息 的 正文 


图 3.2.5 HTTP 消息 由 消息 头 和 消息 体 构成 


在 这 二 者 当中 ， 对 网 络 来 说 重要 的 是 消息 头 。 消 息 头 中 包含 着 HTTP 交互 的 相 
关 控 制 信息 ， 这 些 信息 以 HTTP 报头 的 形式 分 成 几 行 来 记录 。 客 户 端 和 服务 器 
各 自 根据 这 些 信息 去 进行 压缩 处 理 、 持 久 连 接 或 者 识别 文件 种 类 。 下 面 ， 本 书 
就 介绍 儿 种 常见 的 HTTP 报头 。 


。 Connection 头 /Keep-Alive 头 


Connection 头 是 用 来 管理 持久 连接 的 HTTP 报头 。Web 浏 贤 絮 通过 
Connection:Keep-Alive 头 通 知 服务 器 “我 文 持 持 久 连 接 哦 ?”。 对 此 服务 器 会 通 
过 Connection 头 返回 一 个 回复 ， 同 时 还 会 通过 Keep-Alive 头 告 诉 对 方 持久 
连接 的 相关 信息 (如 时 效 值 和 最 大 请 求 数 等 ) 。 


有 些 由 持久 连接 建立 的 连接 因为 设 有 Connection:close 头 ， 可 以 在 时 效 到 来 
之 前 就 关闭 。 


我 也 支持 持久 连接 昵 ， 请 注意 


图 3.2.6 ”通过 Connection 头 管理 持久 连接 
。 Accept-Encoding 头 /Content-Encoding 头 


Accept-Encoding 头 和 Content-Encoding 头 是 用 来 管理 HTTP 压缩 的 HITP 

报头 。 Web 浏览 器 通过 Accept-Encoding 头 通知 服务 器 “我 支持 这 种 方式 的 
压缩 哦 >， 对 此 服务 器 会 在 压缩 消息 体 之 后 ， 通 过 Content-Encoding 头 返 回 
一 个 “我 已 经 用 某 某 方式 压缩 好 了 哦 ”的 回复 。 


负载 均衡 器 利用 这 两 种 头 以 及 表示 文件 种 类 的 Content-type 头 对 HTTP 施 以 
高 效 的 压缩 。 


我 支持 这 和 补 方 式 的 
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Accept-Encoding:gzip,deflate 


HT Ee 1 200 OK 

人 Ee gzip 
Content-Type'text/html 

客户 准 Web 3 


我 已 经 用 这 种 方式 压 缴 
好 了 项 


图 3.2.7 通过 Accept-Encoding/Content-Encoding 头 管理 HTTP 压缩 
User-Agent 头 


Web 浏览 器 将 其 自身 的 信息 以 User-Agent 头 的 形式 通知 给 服务 器 。 当 你 使 
用 低 版 本 的 Web 浏览 右 时 ， 侦 尔 会 跳出 “不 支持 此 浏览 器 ”的 警告 提示 吧 ? 


这 种 警告 提示 就 是 根据 User-Agent 头 的 信息 判断 出 来 的 。 


我 用 的 是 这 种 浏览 攻 中 


GETRHTTP/T 
人 
下 7 < 
” 有 持 昵 
赴 支 桂 比 浏览 绿 未 支 持 呢 


Web 服务 吸 


使 用 Firefox 的 客户 端 


那 我 泛 回 一 个 表示 
不 支持 的 页 面 吧 


图 3.2.8 ”通过 User-Agent 头发 送 Web 浏览 器 的 信息 


3 Uso ont hr el 为 了 浅显 易 届 ， 图 中 只 标 出 了 一 些 简 单 的 信 


Cookie 头 


Cookie 指 的 是 通过 与 HTTP 服务 器 之 间 的 通信 ， 将 特定 信息 暂时 保存 到 浏 
览 器 中 的 一 种 机 制 ， 同 时 也 指 保存 这 些 信 息 的 文件 ， 在 Web 浏览 器 上 的 每 
个 FQDN (Fully Qualified Domain Name， 完 全 合格 域名 ) 都 拥有 相应 的 
a 。 大 家 一 定 有 过 下 面 这 样 的 经 历 吧 ， 虽 然 并 没有 输入 自己 的 用 户 名 
和 密码 ， 却 能 够 登录 购物 网 站 或 社交 网 站 ， 这 就 是 Cookie 立 下 的 功劳 。 我 
们 首次 输入 用 户 名 和 密码 并 在 客户 端 登录 成 功 之 后 ， 服 务 器 会 发 行 一 个 会 
话 ID 并 通过 Set-Cookie 头 给 出 响应 。 由 于 后 续 发 出 请 求 时 都 会 在 Cookie 
头 中 加 入 会 话 ID， 于 是 自动 登录 就 得 以 实现 了 。 


四 在 客户 燃 编 入 用 户 各 和 密码 


用 户 介 


| use | abcdef | 
: 


@ 生 个 会 ID 
认为 兴 为 UssA= 


客户 


图 3.2.9 ”服务 器 会 发 行 一 个 会 话 ID 并 通过 Cookie 去 交付 


Web 服务 器 


图 3.2.10 在 Cookie 头 中 加 入 会 话 ID 后 发 出 请 求 


负载 均衡 器 的 Cookie 会 话 保持 (Insert 模式 ) 利用 的 就 是 这 种 Cookie 机 
市。 负载 均衡 器 将 首次 响应 时 获得 的 、 含 服务 器 信息 在 内 的 Cookie 通过 
Set-Cookie 头发 送出 去 ， 由 于 后 续 发 出 的 请 求 均 含 有 Cookie 头 ， 信 息 就 能 
持续 不 断 地 发 往 同 一 台 服 务 器 。 


可 通过 多 种 方法 发 出 HTTP 请 求 


客户 端 用 请 求 消 息 头 中 最 前 面 记述 的 请 求 行 传达 HTTP 请 求 的 门脸 。 请求 行 由 
三 个 要 素 构成 ， 分 别 是 方法 、URI (Uniform Resource Identifier， 统 一 资源 标识 
符 ) 和 HTTP 版 本 。 方 法 指 HTTP 请 求 的 种 类 ，URI 指 请 求 的 地 点 
el 、http:// 一 等 ) 。 客 户 端 向 URI 要 求 相应 的 方法 ， 服 务 器 将 处 理 结 
果 返 回 。 


症 5 44451011.100 131924550004 52349 http HTTP 441 GET/ HTTP/I. 


nH Fon 8 41 bytes on wine(3n brs), 441 bytes capturad (3528 bs) 
| 加 Ethermet H, Sre: Vmware_ 6b:f5:da (00:0c:29:6b:T5:de), Dst: VMware 1b:27:4b (00:0c:29:1b:27:4b) 
BB 802.1Q Virtual LAN, PRI: 0, CFI 0, ID: 4093 
BB intemet Protocol Version 4, Sre; 10:4.1,100 (310.1.£,100), Dst: 192,168,100,1 (192,168.100,1) 
I 国 Transmission Control protocol.Src Port; S2349 (52349), Dst Port: htto (80), Seo: 1. Ack: 1, Len: 383 


Host; 10,1,1.2¥r¥n 2 

Usar-Agent: Mozilla/5.0 (WindowsN NT 6.1; WOW64; rv:9.0.1) Gecko/20100101 Firafox/9.0.1¥ryn 
Accepti texU/html,spplicstion/xhtml+xml,spplication/xml;gq=0,9,°/*;q=0,8¥r¥n 
Accept-Longuage: je,en-us;q=0,7,en;9=0,3¥r¥n 

Accept-Encoding: gzip, deflate¥r¥n 消息 
Accept-Charset: Shift_JIS,Utf-8;q=0,7,";q=0.7¥r¥n x “| 
Connaction: keep-alive¥r¥n 

Pragma: no-cachexryn 

Cache-Control: no-cacha¥r¥n 

rn 


图 3.2.11 通过 请 求 行 传达 HTTP 请 求 的 内 容 


用 于 请 求 行 的 方法 只 有 窒 密 儿 种 ， 非 常 简单 。 下 表 中 列举 了 一 些 常用 的 方法 以 
供 大 家 参考 。 


表 3.2.1 方法 表示 请 求 的 种 类 


内 容 


询 支 持 的 方法 和 选项 


从 服务 器 获取 数 志 


牛 传送 给 服务 器 


通 往 服务 器 的 路 径 


J 代理 服务 器 要 求 隧道 容 越 


服务 ee 头 中 最 前 面 记 述 的 状态 行 返回 处 理 结 
条 。 状 态 行 由 三 个 要 素 构 成 ， 分 别 是 状态 码 、 状 态 码 说 明和 HTTP 版 本 。 


这 三 个 要 素 中 最 重要 的 是 状态 码 。 状 态 码 是 一 个 三 位 数 的 编号 ， 表 示 处 理 结 果 
如 何 。 每 个 状态 码 都 有 着 不 同 的 含义 ， 例 如 ，Web 服务 器 运行 正常 时 会 返 
回 “200 OK”， 请 求 内 容 并 不 存在 时 会 返回 “404 Not Found”。 


11 94,206135 92 } htm) 二 ey 


15 Femmeil: 64 bybes on wre lSi2 Uts), 54 byted ed {512 bets) 和 
由 Ethernet H, Sre: Vmware_ 1b:27:4b (00:0c:29:1D:27:4b), Dst: Vmweare_6b:5:de (00:0c:29:6b:fS de) 
D B02.1Q Virtuel LAN, PRI 0, CFE: 0, ID: 4093 

WH Intemet protocol Version 4, Sre; 192,168.100,1 (192.168;100,1), Dat: 10,14,1,100 (30.1,1,100) | 
局 Transmission Control Protocol, Src Port: http (80), Dst Port; 52349 (52349), Seq: 1461, Ack: 384, Len: 1 | 
固 a Resssembled TCP i {1481 hurocl A 11(1)] 


2 oe Sun, 25 Dec 2013 37 09:47 GMT¥rYnN 
Server: Apache¥r¥n 
Vary: Acceft-Encodingyryn 
Content-Encoding: gzip¥r¥n 
3 Content-Length; 1238¥r¥n 

Keep-Alive: timeout=15, Max=100¥r¥n 

Connection: Keep-Alve¥r¥n 

Content-Type; text/htmi¥r¥n 

Wr 

[HTTP rssponse 1/2) 

[Lime 5incs request: 0,011687000 seconds} 

[Raqusst in frame: 8} 

上 i fr 《 

[Next resnonse in frams: 52] 

Contsnt-encoded entity body (fazip): 1238 bwvtss -> 4427 bvtes 
3ICine-based text date: text/html 

<HTML lang="]ja">¥n 


i 


<HEAD>YN 

<META http"equiv="Content-Type” content="text/htm); charset=Sh-)1S">¥n 消息 体 驶 是 消息 的 - 
<STYLE type="text/css">¥n 正文 部 分 | 
BODY {¥n 

¥tmargin: Opx;¥n ” 


图 3.2.12 通过 状态 行 返回 处 理 结果 
表 3.2.2 用 状态 码 传 达 服 务 器 的 状态 


Informational (信息 ) 收 到 请 求 ， 正 在 处 理 


Successful (成 功 ) 已 成 功 处 理 


Redirection ( 重 定向 ) 处 理 ， 还 需 进 行进 一 步 的 操作 


Client Error (客户 端 错误 请 求 的 语法 不 对 或 者 是 服务 器 未 能 接收 


5XX Server Error (服务 器 错误 ) 请 求 已 收 到 但 无 法 处 理 


3.2.2 用 SSL 保护 数据 
SSL (Secure Socket Layer， 安 全 套 阶 层 ) 是 一 种 保护 应 用 数据 不 受 网 络 不 法 侵 


害 的 协议 。 人 们 在 网 络 上 交换 地 址 、 电 话 号 码 、 信 用 卡号 、 企 业 机 密 等 各 种 信 
上 县， 网 络 上 的 恶意 破坏 者 则 始终 都 在 伺机 窥探 ， 企 图 盘 取 这 些 重要 的 信息 。 


四 [9 供 多 竺 于 信息 都 在 
二 底 络 上 进行 交换 


天 全 
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图 3.2.13 ”人 们 在 网 络 上 交换 各 种 各 样 的 信息 


SSL 是 为 了 保护 数据 不 受 恶 意 破坏 者 侵害 而 出 现 的 。 人 们 用 SSL 将 客户 端 和 服 
务 器 之 间 的 数据 加 密 并 进行 认证 ， 以 此 来 保护 重要 的 数据 。 大 家 在 上 网 时 都 可 
以 看 到 ，Web 浏览 器 的 网 址 显示 为 "https 一 ”的 形式 ， 后 面 有 一 把 上 锁 的 标 
记 。 这 表示 该 网 页 已 被 SSL 加 密 ， 数 据 是 非常 安全 的 ， 不 会 外 泄 。HTTPS 是 
HTTP over SSL 的 简称 ， 是 指 对 HTTP 做 了 SSL 处 理 。 


IO 显示 了 上 销 的 标记 


一 
Er 


检索 


图 3.2.14 ”可 通过 Web 浏览 器 的 显示 内 容 判 断 该 网 页 是 否 已 做 了 SSL 处 理 
3.2.2.1 防止 窃听 、 算 改 和 冒充 


互联 网 让 我 们 能 够 搜索 到 上 自己 需要 的 信息 ， 能 够 快速 地 购买 商品 ， 是 一 个 非常 
方便 的 世界 。 然 而 与 此 同时 ， 互 联网 也 是 一 个 充满 了 危险 的 世界 ， 其 中 的 三 大 


危害 就 是 贸 听 、 得 改 和 冒充 。SSL 能 够 保护 数据 免 爱 侵 害 ， 下 面 我 们 就 来 看 一 
看 ， 它 分 别 都 运用 了 哪些 技术 去 抵御 这 些 侵害 


用 加 密 技术 防止 窃听 


窃听 应 该 是 最 容易 理解 的 一 种 侵害 。 重 要 数据 如 末 不 加 任何 处 理 束 公开 交互 ， 
那么 即使 不 是 恶意 破坏 者 的 普通 人 也 会 对 其 中 的 内 容 产生 好 奇 吧 。SSL 将 客户 
端 和 服务 器 之 间 的 通信 加 密 ， 这 样 ， 即 使 外 人 窃听 到 这 些 信息 ， 也 无 从 获悉 其 
中 的 具体 内 容 。 


十 蜂 咀 ， 那 个 朋 伙 
TAOS Oe ds ad esa et 二 7 


Web 客户 党 
( Web 浏览 回 ) 
加 密 - J pt 
A 


要 上 这 些 黄 名 其 未 的 


OE RE RR OR ESR 字符 录 炸 么 意 轩 oooooessesssseesoesososesssose 


图 3.2.15 用 加 和 密 技术 防止 窃听 
用 消息 摘要 技术 检测 数据 是 否 被 自 改 过 


自 改 十 指数 据 在 传输 途中 被 擅自 改写 的 一 种 侵害 。 假 设 我 们 在 网 上 订购 了 商 
品 ， 但 是 如 有 果 送 货 地 址 被 恶意 破坏 者 改 成 了 他 上 自己 的 地 址 ， 我 们 丈 无 法 收 到 该 
商品 了 。SSL 将 根据 数据 计算 出 的 消息 摘要 (MD 值 ) 和 数据 本 身 一 起 发 送 ， 以 
此 来 检查 数据 是 否 被 自 改 过 。 节 点 收 到 它们 之 后 ， 将 根据 数据 计算 出 的 消息 摘 
和 添加 的 消息 摘要 进行 比较 ， 看 二 者 是 否 一 至。 由 于 是 对 同一 数据 进行 同样 
的 计算 ， 如 果 哈 希 值 一 样 束 说 明 数 据 并 未 被 自 改 。 


奖 


Web 突 户 淆 
(Web 浏览 器 ) 


图 3.2.16 用 消息 摘要 技术 检测 数据 是 否 被 自 改 过 
用 数字 证 书 技术 识破 冒充 


冒充 是 假扮 成 通信 对 象 的 一 种 侵害 。 数 据 发 送 方 并 不 知道 对 方 是 否 真 的 是 自己 
起 发 送 数据 的 对 象 ， 通 信 可 能 在 不 知 不 觉 中 就 被 恶意 破坏 者 劫持 ， 而 且 这 些 


意 破 坏 者 还 可 能 冒充 本 应 收 到 数据 的 一 方 。 所 以 ， 如 果 我 们 不 采取 任何 防范 
稍 施 就 相当 于 把 重要 的 数据 亲自 交 到 坏人 的 手 上 。 因 此 ，SSL 会 利用 数字 证 书 


去 确认 对 方 的 身份 ， 它 的 工作 原理 是 ， 在 发 送 数据 之 前 要 求 对 方 提供 目 
上 县， 然后 根据 对 方 发 过 来 的 数字 证 书 验 明 正身 。 


身 的 信 


: , : 
- HTTP 设 务 器 : 
-1 Rr ER TS Sr RS RT 

Web 客户 庙 Rs | 
| Web 浏览 综 ) aid 


入 你 得 先 告诉 我 你 
的 信息 ， 认 后 我 
才能 把 企业 机 窗 

发 给 你 


HTTPS 启 务 恬 


名 这 是 个 孙 生 人 1 


验 明 血 从 


ETEEEETEEEETET 


图 3.2.17 用 数字 证 书 技术 识破 冒充 
3.2.2.2 ”通过 SSL 可 以 给 各 种 各 样 的 应 用 程序 协议 加 密 


常常 有 人 误 以 为 SSL 是 HTTP 专用 的 加 密 协 议 ， 其 实 并 非 如 此 ， 只 不 过 人 碰巧 
HTTPS 是 网 络 上 最 为 常用 的 协议 ， 所 以 容易 让 人 们 产生 这 样 的 误解 而 已 。SSL 
在 传输 层 运 作 ， 和 应 用 协议 是 各 自 独 立 工 作 的 。 由 于 SSL 要 用 到 TCP， 所 以 它 
应 该 是 在 TCP 之 上 应 用 程序 之 下 ， 给 人 感觉 是 在 第 4.5 层 中 运作 。SSL 将 TCP 
应 用 协议 视 为 加 密 对 象 ， 因 此 ， 用 于 文件 传输 的 FTP 和 用 于 邮件 收发 的 SMTP 
也 可 以 用 SSL 进行 加 密 处 理 。 这 时 候 ， 这 些 协议 的 称呼 也 会 变 成 “oo over 
SSL” 的 形式 ，FTP 变 成 FTP over SSL，SMTP 则 变 成 SMTP over SSL 。 


图 3.2.18 ”可 通过 SSL 给 各 种 各 样 的 TCP 程序 加 密 
3.2.2.3 SSL 使 用 混合 加 密 方式 进行 加 密 
加 密 技 术 由 加 密 和 解密 的 双重 关系 构成 。 


发 信 方 将 需要 发 送 的 原文 和 用 于 加 密 的 钥匙 “加 密 密 钥 ” 装 入 一 个 叫 作 加 密 算 法 
的 数学 计算 步骤 中 ， 然 后 上 锁 ， 将 原文 转换 为 加 密 文 《加密 处 理 ) 。 收 信 方 将 
收 到 的 加 密 文 和 用 于 解密 的 钥匙 “解密 密 钥 ” 装 入 一 个 叫 作 解密 算法 的 数学 计算 
步骤 中 ， 然 后 开锁 ， 由 此 取出 原文 (解密 处 理 ) 。 根 据 加 密 密 钥 和 解密 密 钥 的 
使 用 方法 ， 网 络 中 的 加 密 技 术 大 致 分 为 共享 密 钥 加 密 和 公 钥 加 密 两 种 方式 ， 下 
面 来 分 别 说 明 一 下 。 


图 3.2.19 加密 技 术 由 加 密 和 解密 的 双重 关系 构成 
用 共享 密 钥 加 密 方式 可 进行 高 速 处 理 


在 共享 密 钥 加 密 方式 中 ， 加 密 密 钥 和 解密 密 钥 是 相同 的 。 由 于 发 信 方 和 收 信 方 
对 称 地 使 用 相同 的 密 钥 ， 所 以 这 种 方式 又 被 称 作 对 称 密 钥 加 密 方 式 。 发 信 方 和 
收 信 方 预先 基于 同 、 把 密 钥 ， 用 加 密 密 钥 将 数据 加 密 ， 然 后 用 和 加 密 密 钥 完全 
一 致 的 解密 密 钥 为 数据 解密 。DES (Data Encryption Standard， 数 据 加 密 标 
准 ) 、3DES (Triple Data Encryption Standard， 三 重 数据 加 密 标 准 ) 和 AES 
(Advanced Encryption Standard， 高 级 加 密 标 准 ) 都 属于 这 一 类 加 密 方 式 。 


共享 密 钥 加 密 方式 的 优点 在 于 它 的 处 理 速 度 ， 由 于 结构 简单 ， 加 密 处 理 和 解密 
处 理 都 能 够 高 速 地 完成 。 缺 点 则 是 密 钥 的 传送 问题 ， 由 于 加 密 密 钥 和 解密 密 铀 
相同 ， 万 一 密 钥 被 恶意 破坏 者 截取 ， 束 无 法 保证 数据 安全 了 。 所 以 ， 我 们 必须 
另外 考虑 如 何 将 通信 双方 之 间 共 享 的 密 钥 安全 地 传送 给 对 方 。 


发 送 密 钥 时 如 果 必须 浊 前 将 窗外 
就 会 涝 汗 册 去 | “下 总 破坏 者 


图 3.2.20 ”共享 密 钥 加 密 方式 中 的 加 密 密 钥 和 解密 密 钥 是 相同 的 


用 公开 密 钥 加 密 方 式 能 更 好 地 解决 密 钥 传 送 问题 


公开 密 钥 加 密 方式 ( 公 钥 加 密 方式 ) 是 加 密 和 解密 分 别 使 用 不 同 密 钥 的 加 密 方 
式 。 由 于 发 信 方 和 收 信 方 不 对 称 地 使 用 不 同 的 密 钥 ， 所 以 这 种 方式 又 被 称 为 非 
对 称 密 钥 加 密 方式 。RSA 和 椭圆 曲线 加 密 属 于 这 一 类 加 密 方 式 。 


在 公 钥 加 密 方 式 背 后 起 着 支撑 作用 的 是 公 钥 和 秘 钥 。 它 们 各 如 其 名 ， 公 钥 指 可 
以 公开 的 密 钥 ， 秘 钥 则 指 秘密 保管 的 密 钥 ， 这 两 个 密 钥 是 成 对 使 用 的 ， 所 以 被 
称 为 密 钥 对 。 密 钥 对 之 间 存 在 着 某 种 数学 关系 ， 不 能 用 其 中 一 把 计算 出 另外 
把 。 而 且 ， 用 公 钥 加 密 的 加 密 文 必须 用 秘 钥 才能 解密 。 


密 钥 对 在 公开 密 钥 加 密 方 式 中 是 如 何 运 作 的 呢 ? 我 们 来 看 一 下 它 的 处 理 
忧 序 。 


1 一 ” 收 信 方 生成 公 钥 和 秘 钥 ( 密 钥 对 ) 。 

2 一 收 信 方 将 公 钥 对 外 发 布 ， 同 时 保管 秘 钥 。 
3 一 发 信 方 将 公 钥 加 密 后 发 给 收 信 方 。 

4 一 收 信 方 用 秘 钥 给 公 钥 解密 


恒 


二 (水 入 公 和 铺 革 外 公布 if 公 急 + 


SE vv 


图 3.2.21 公 和 钥 加 密 方式 使 用 公 和 钥 和 秘 钥 


公 钥 加 密 方 式 的 优点 在 于 密 钥 传送 。 用 于 加 密 的 公 钥 是 对 外 公开 的 密 铀 ， 只 
和 秘 钥 在 一 起 才能 发 挥 作用 ， 而 且 准 也 无 法 由 公 诅 计 务 出 秘 胃 ， 因此 我 们 不 必 
担心 密 钥 传送 是 否 安全 这 个 问题 。 缺 点 则 是 处 理 速度 较 慢 ， 公 钥 加 密 方 式 的 处 
理 比较 复杂 ， 加 密 和 解密 都 需要 耗费 较 长 的 时 间 。 


混合 加 密 方式 能 采 众 家 之 长 

在 公 钥 加 密 方 式 和 共享 密 钥 加 密 方 式 中 ， 一 方 的 优点 恰好 是 另 一 方 的 缺点 ， 反 
之 亦 然 。 在 这 样 的 背景 下 ， 混 合 加 密 方式 应 运 而 生 。SSL 采用 的 就 是 混合 加 密 
方式 ， 它 既 能 像 共 享 密 钥 加 密 方式 那样 进行 高 速 处 理 ， 又 能 像 公 钥 加 密 方式 那 

样 解决 密 钥 传 送 的 问题 ， 是 一 种 采 众 家 之 长 的 加 密 方式 。 


表 3.2.3 “在 共享 密 钥 加 密 方式 和 公 钥 加 密 方式 中 ， 一 方 的 优点 恰好 是 另 一 方 的 
缺点 ， 反 之 亦 然 


比较 事项 共享 密 钥 加 密 方 式 公 钥 加 密 方式 


比较 事项 共享 密 钥 加 密 方 式 公 钥 加 密 方式 


密 钥 的 管理 每 个 通信 对 象 都 需要 管理 只 需 管理 秘 钥 即 可 


在 混合 加 密 方 式 中 ， 消 息 是 通过 共享 密 钥 加 密 方 式 加 密 的 ， 使 用 共享 密 钥 加 密 
方式 可 实现 高 速 处 理 。 与 此 同时 ， 共 享 密 钥 加 密 方式 中 使 用 的 密 钥 是 通过 公 钥 
加 密 方式 加 密 的 ， 这 样 又 能 够 解决 密 钥 传 送 的 问题 。 


下 面 我 们 来 看 一 下 实际 的 工作 流程 。1 ~ 4 为 公 钥 加 密 方式 ，5 ~ 6 为 共享 密 钥 
加 秘方 式 * 


1 一” 收 信 方 生成 公 角 和 秘 钥 
2 - 收 信 方 将 公 钥 对 外 发 布 ， 同 时 保管 秘 铀 


3 ~ 发 信 方 用 公 钥 将 共享 密 钥 〈 在 共享 密 钥 加 密 方 式 中 使 用 的 密 钥 ) 加 密 后 
发 给 收 信 方 。 


4 一 收 信 方 用 秘 钥 解密 后 取出 共享 密 钥 ， 从 这 一 刻 开 始 ， 双 方 共同 拥有 给 消 
息 加 密 和 人 解密 的 密 钥 。 


5 一 ”发 信 方 用 共享 密 钥 给 消息 加 密 后 发 给 收 信 方 。 
6 一 ” 收 信 方 用 共享 密 钥 给 收 到 的 消息 解密 。 


O 


[eo 


图 3.2.22 混合 密 钥 加 密 方式 采 众 家 之 长 
3.2.2.4 ”消息 摘要 是 消息 的 概要 


正如 其 名 ， 消 息 摘要 指 的 是 消息 的 概要 (摘要 ) 。 摘 要 的 提取 犹如 采集 数据 
的 “指纹 ”， 所 以 它 又 被 称 作 (数字 ) 指纹 。 另 外 ， 由 于 它 像 做 炸 土 豆饼 
(Hashed Potato， 谐 音 为 哈 希 士 豆 ) 一 样 是 将 数据 “ 切 碎 * 再 进行 混合 加 工 ， 所 以 
也 被 称 作 哈 希 (Hash) 7 


| ”Hash 此 处 采用 译 ， 也 可 译 为 “ 散 列 "”。 一 译 者 注 
比较 消息 摘要 效率 更 高 


当 我 们 需要 查看 两 个 数据 是 否 一 致 时， 直接 将 二 者 进行 比较 是 最 简单 也 最 直 截 
了 当 的 办 法 。 当 然 ， 如 果 数据 比较 小 用 这 种 办 法 也 是 可 行 的 。 但 是 ， 如 果 数 
据 很 大 会 怎么 样 呢 ? 结论 是 保管 数据 可 能 就 需要 成 倍 的 空间 ， 比 较 作 业 本 身 也 
会 非常 捆 烦 ， 于 是 人 们 想到 了 用 消息 摘要 来 解决 这 个 问题 。 消 息 摘 要 是 由 “ 单 向 
哈 希 函数 ”计算 出 来 的 值 。 因 为 它 是 数据 的 摘要 ， 所 以 比较 小 ， 而 且 无 论 原来 的 
数据 有 多 大 ， 算 出 来 的 消息 摘要 的 大 小 都 是 相同 的 ， 因 此 处 理 起 来 非常 方便 。 
人 们 无 法 根据 消息 摘要 复原 出 完整 的 数据 ， 也 就 是 说 ， 即 使 它 不 笠 被 
， 从 安全 角度 上 说 也 没有 任何 问题 。 


ht 
Im 


消息 摘要 很 小 , 处 理 
起 来 比较 方便 


区 


人 们 无 法 根据 消息 摘要 
复原 出 完整 的 数据 


图 3.2.23 ”由 单 向 哈 希 函数 生成 消息 摘要 


比较 数据 的 时 候 ， 先 是 由 发 信 方 将 数据 和 消息 摘要 一 起 发 给 收 信 方 ， 收 信 方 根 
据 数 据 算 出 消息 摘要 之 后 ， 将 自己 算出 的 消息 摘要 和 收 到 的 消息 摘要 进行 对 
。 如果 数据 未 被 自 改 过 ， 那 么 经 过 同样 的 计算 得 出 的 消息 摘要 就 应 该 是 一 至 


Web 客户 柴 HTTPS 服务 履 
[Web 浏 星 器 ) 


图 3.2.24 用 消息 摘要 (MD) 检测 数据 是 否 被 自 改 过 
通过 消息 摘要 进行 证 书 验证 

在 SSL 中 ， 消 息 摘要 还 用 于 验证 数字 证 书 。 无 论 做 了 多 么 周全 的 加 密 处 理 ， 如 
果 发 送 数据 的 对 象 是 陌生 人 ， 那 么 通信 就 没有 任何 意义 。 在 SSL 中 ， 发 信 方 和 


收 信 方 利用 数字 证 书 来 证 明 自 己 和 对 方 的 身份 。 这 样 的 话 ， 有 一 点 就 非常 重要 
了 ， 那 就 是 即使 某 一 方 大 声 呼喊 “我 是 A 哦 ! ”也 不 足以 令 人 信服 。 口 说 无 赁 ， 


这 个 人 到 底 是 不 是 A 我 们 无 从 知道 ， 也 许 只 是 某 个 人 B 在 大 叫 “ 我 是 A 哦 ! "而 
已 。 因 此 在 通信 中 ，SSL 是 采用 第 三 方 认证 来 解决 这 个 问题 的 。 具 体 说 来 ， 是 

让 可 以 信任 的 第 三 方 一 一 CA (Certificate Authority， 证 书 授权 ) 机 构 以 数字 签名 
的 形式 对 “A 是 A” 这 个 事实 给 予 认 可 。 然 后 在 该 数字 签名 中 使 用 消息 摘要 


O 


esssssussssssssssssssovosussssisssssi es 2 ooooooooooooooooooooo， 


Web 客户 端 
( Web 浏览 器 ) 六 公司 的 
SSL 服务 器 


. 
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图 3.2.25 ”通过 数字 签名 进行 第 三 方 认证 


数字 证 书 由 签名 前 证 书 、 数 字 签名 算法 和 数字 签名 这 三 个 部 分 构成 。 签 名 前 证 
书 是 服务 器 和 服务 器 挂 有 人 的 信息 ， 表 示 服 务 器 网 址 的 公用 名 称 、 有 效 期 限 和 
公 角 也 包含 在 其 中 。 数 字 签名 算法 中 包含 单 向 哈 希 函数 。 将 签名 前 证 书 经 过 哈 
希 处 理 得 到 的 消息 摘要 用 CA 机 构 的 秘 钥 进 行 加 密 ， 就 得 到 了 数字 签名 。 


图 3.2.26 ”数字 证 书 由 签名 前 证 书 、 数 字 签名 算法 和 数字 签名 三 个 部 分 构成 
收 信 方 收 到 数字 证 书 之 后 ， 用 CA 机 构 的 公 钥 《路 由 证 书 ) 将 数字 签名 解密 ， 
然后 将 其 和 签名 前 证 书 对 比 。 如 果 二 者 一 致 束 说 明证 书 未 被 自 改 ， 也 就 是 说 发 
来 信息 的 服务 器 的 确 不 是 由 恶意 破坏 者 冒充 的 。 

i 人 公司 的 


咱 “SSsL 版 务 器 


图 3.2.27 验证 证 书 
补充 一 下 ， 如 果 数 字 证 书 验 证 失败 ， 则 会 跳出 警告 提示 。 
3.2.2.5 SSL 中 执行 着 大 量 的 处 理 


SSL 中 包含 着 诸多 技术 组 合 ， 是 一 种 综合 性 的 加 密 协 议 。 为 了 让 这 些 技术 彼此 
组 合并 相辅相成 ， 最 终 实现 成 功 连 网 ， 需 要 执行 大 量 的 处 理 。 下 面 ， 我 们 以 某 
台 SSL 服务 右 要 在 互联 网 上 公开 为 前 提 ， 逐 一 梳理 各 项 处 理 的 具体 内 容 。 


准备 服务 器 证 书 并 将 其 安装 到 服务 器 上 


在 互联 网 上 公开 SSL 服务 器 ， 并 不 意味 着 准备 好 一 全 己 局 动 SSL 服务 的 服务 大 
忠 足 够 了 。 将 一 台 服 务 右 作为 SSL Ln 些 准 备 工作 ， 
例如 准备 好 证 书 、 癌 CA 机 构 提交 申请 ， 。 大致 说 来 可 分 为 以 下 四 个 步 


又 。 


1 -通过 SSL 服务 咒 ” 生 成 秘 钥 。 秘 骨 征 不 可 以 对 外 公开 的 密 铀 ， 一 定 要 细 
心 保管 ， 避 人 免 遗 失 。 


3 如果 是 通过 负载 均衡 器 进行 SSL 加 速 ， 则 也 由 负载 均衡 器 生成 密 钥 对 。 


2 -用 1 ”中 生成 的 秘 钥 生成 CSR (Certificate Signing Request， 证 书签 名 请 
求 ) ， 将 其 发 给 CA 机 构 。CSR 是 一 种 为 获得 服务 器 证 书 而 提交 给 CA 机 构 的 
随机 字符 串 ， 由 签名 前 证 书 的 信息 构成 ， 生 成 时 会 将 相关 的 信息 一 一 写 入 。 生 
成 CSR 时 需要 用 到 的 信息 统称 为 区 别名 称 ， 表 3.2.4 中 列 出 了 其 中 所 包含 的 内 
谷 O 


表 3.2.4 写 入 区 别名 称 ， 生 成 CSR 


所 需 信息 内 容 例 
名 和 初 Web 服务 器 的 网 址 (FQDN www.local.com 


Local Japan K.K 


Information Security Section 


不 同 的 CA 机 构 会 要 求 不 同 的 申请 提交 信息 和 公 角 长度， 我 们 一 定 要 在 相关 网 
站 预先 确认 好 。 


3 一 按照 CA 机 构 规 定 的 各 种 流程 进行 审核 ， 审 核 内 容 包 括 : 全 丰台 种 信 信 

数据 、 拨 通 在 第 三 方 机 构 数 据 库 中 记载 的 电话 号 码 直 接 确认 ， 审核 通过 
之 后 对 CSR 进行 哈 希 处 理 ， 人 名 添加 到 
服务 器 证 书 中 ， 接 下 来 CA 机 构 会 发 行 服 务 器 证 书 并 交 给 请 求 方 。 服 务 器 证 书 

也 是 随机 的 字符 串 。 


4- 将 从 CA 机 构 获得 的 服务 器 证 书 安装 到 SSL 服务 器 上 ， 有 些 CA 机 构 会 
要 求 将 中 间 证 书 也 一 起 安装 进去 。 中 间 证 书 指 的 是 中 间 CA 机 构 发 行 的 一 种 证 
书 。CA 机 构 为 阶层 性 构造 ， 管 理 着 各 色 各 样 的 证 书 ， 位 于 最 顶层 的 是 路 由 CA 
机 构 。 中 间 CA 机 构 是 被 CA 机 构 (路 由 CA 机 构 ) 认可 的 下 属 CA 机 构 。 


Web 窜 产 缮 
(Web 浏览 器 ) 


CA 机 的 和 SSL 屯 务 其 之 疗 的 


相关 这 和 全 部 结 来 之 后 才能 开 : 
始 正 党 访 : | “eo 
: 医 可 村 区: 局 
: 全 全 cen ya 


[ CA 轴 构 De 
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图 3.2.28 ”证 书 安装 完毕 之 后 ， 准 备 工作 才 算 结束 
大 量 处 理 结束 之 后 ， 加 和 密 才 得 以 进行 


证 书 安装 结束 之 后 ， 接 下 来 就 要 受理 来 自 客户 端的 连接 了 。SSL 并 不 是 马上 给 
消息 加 密 然 后 就 发 送出 去 的 ， 在 消息 加 密 之 前 还 有 一 个 SSL 握手 阶段 ， 用 来 决 
定 给 哪个 信息 加 密 。 这 里 所 说 的 握手 和 TCP 的 三 次 握手 (依次 为 SYN 、 
SYN/ACK 和 ACK) 是 完全 不 同 的 概念 。SSL 在 TCP 的 三 次 握手 结束 之 后 再 进 
行 SSL 握手 处 理 ， 然 后 根据 在 该 处 理 中 决定 的 信息 给 消息 加 密 。SSL 握手 由 四 
0 分 别 是 出 示 算 法 、 证 明 通 信 对 象 的 身份 、 交 换 共 享 密 钥 以 及 最 终 
确认 。 


客户 峭 


ETETIEILEEEE ELLE ELIE EE 


我 可 以 使 用 这 些 算 法 


0 


决定 使 用 这 个 算法 了 


这 是 我 的 证 书 


我 已 径 把 水 术 信息 发 玛 你 了 


Tien 


数 杷 共享 寄 拉 的 杰 来 
加 售后 发 给 你 
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岂 这 个 加 窗 算 法 去 若 窗 


: 好 的 ,水 问 划 : 


图 3.2.29 在 SSL 所 手中 交换 共享 密 钥 
1 -~ 出 示 支 持 的 算法 
在 这 个 步骤 中 由 客户 端 出 示 自 己 能 够 使 用 的 加 密 方 式 和 单 向 哈 希 函数 。 用 于 加 


密 和 哈 希 处 理 的 技术 (算法 ) 非常 之 多 ， 所 以 必须 通过 Client Hello 告知 对 方 本 
机 能 够 使 用 哪些 加 密 算法 和 单 向 哈 希 画 数 。 


“SSL 版 本 


* 当前 时 刻 
"client random{ challenge ) 
* 会 话 |D 
* 可 用 的 加 密 算法 (AES、DES、3DES 等 ) 
"可 用 的 单 向 哈 希 函数 ( SHA-1、 MD5 等 ) 入 
- 可 用 的 压缩 算法 i | 我 可 以 使 用 
' Be Ga 
一 上 
SSL 服务 器 


图 3.2.30 ”向 服务 器 出 示 能 够 在 本 机 中 使 用 的 参数 


此 外 ， 在 这 个 步骤 中 还 要 发 送 其 他 一 些 必须 和 服务 器 保持 一 致 的 参数 ， 如 SSL 
版 本 、 会 话 ID 和 用 于 生成 共享 密 钥 的 client random 等 。 


me 7: 158 bbe on Wire (1264 bits); 158 bytes captured (1264 bits) 
a Ethemaet I, Src: VMware co:00:01 (00:50;56:c0:00:01), Dst: Vmware_6b:f5:d4 (00:0¢:29:6b;f5:d4) 
9 802.1Q Virtual LAN, PRI: 0, CFL: 0, ID: 4094 
a Internet Protocol Src; 10.1.1,100 (10.1.1.100), Dst; 10.1.1.4(10.1.1.4) 
= Transmission Contfol Protoco), Sre Port: 49417 (49417), Dst Port: https (443), Seq:; 1, Ack: 1, Len:; 100 
E Secure Socket Layer 
|| [EnEH | 
Content Type: Handshake (22) 
Version: TLS 1.0 (0x0301) 
Length: 95 
9 Handshake Protocol: Client Hello 
Handshake Type: Client Hello (1) 
Length: 91 
Version: TLS 1.0 (0x0301) 
5 Random 


E Cipher Suites {10 suites) 
Cipher Suite: TLS_RSA_WITH_AES_128_CBC_SHA (Ox002) 


Cipher Suite: TLS_RSA_WITH_AES_256_CBC_SHA (0x0035) 

Cipher Suite: TLS_RSA_WITH_3DES_EDE_CBC_SHA (0x000a) 

Cipher Sulte; TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA (Oxc013) 

Cipher Suite: TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA (Oxc014) 

Cipher Suite: TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA (Oxc009) 

Cipher Suite: TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA (0xc0Q0a) 
: TLS_DHE_DSS_WITH._AES_128_CBC_SHA (0x0032) 
:TLS_DHE:DSS_WITH_AES_256_CBC_SHA (0x0038) 


Compression Methods Length: 1 
# Compression Methods (1 method) 
Extensions Length; 30 
s Extension: renegotiation_info 
Extension: status_request 
5 Extension; elliptic_curves 
:ec_point_formats 


图 3.2.31 通过 Client Hello 向 服务 器 出 示 支 持 的 算法 清单 
2 -~ 证 明 通 信 对 象 的 身份 


在 这 个 步骤 中 通过 确认 服务 器 证 书 来 查 明 客户 端 是 否 在 和 真正 的 服务 器 通信 ， 
这 个 步骤 由 三 个 进程 构成 。 


首先 ， 服 务 器 会 在 收 到 的 清单 中 选 出 能 够 使 用 的 算法 ， 然 后 返回 一 个 Server 
Hello。 除 了 选 出 的 算法 外 ， 消 息 中 还 包括 SSL 版 本 、 >。 ID、 用 于 生成 共享 密 
钥 的 server random 等 必须 和 客户 端 保持 一 致 的 参数 。 接 下 来 用 Certificate 发 送 


本 机 的 服务 如 证 书 ， 通知 对 方 自己 的 身份 。 最 后 发 出 Server Hello Done 的 消 


息 ， 告 知 对方 所 有 信息 都 已 发 送 完 毕 。 客 户 间 尖 芭 到 服 关 是 下 二 5 进行 验证 
(用 路 由 证 书 解密 ， 然 后 比较 双方 的 MD 值 ) ， 考 察 服务 器 的 真 伪 。 


“SSL 原本 
* 当前 时 刘 
9 人 FNooMm 
上 * 会 话 地 
Py “决定 使 用 的 扣 密 算法 
A (AES.DES.3DES 委 ) 
本 . 决定 使 用 的 单 向 哈 项 消 数 
j 【SHA-1.MDS5 等 ] 
有 * 决定 使 用 的 座 浪 算法 
决定 使 用 这 个 六法 | 
全 
发 送 
4— Certificate 
从 一 Server so 


图 3.2.32 ”通过 证 书 考 察 对 方 的 身份 


| 区 加 Frame 8: 577 bytes on wire (4616 bits), 577 bytes captured (4616 bits) 
® Ethernet H, Src: Vmware_6b:f5:d4 (00:0c:29:6b:f5:d4), Dst: Vmware_c0:00:01 (00:50:56 
加 802.1Q Virtual LAN, PRI: 0, CFI: 0, ID: 4094 
m Internet Protocol, Src: 10.1.1.4 RS Dst: 10.1,1.100 (10.1;1.100) 
a Eo UN tet O70 0 
B TLSv1 Record Layer: Handshake Protocol:[Server Hello] 
Content Type: Handshake (22) 
Version: TLS 1,0 (0x0301) 
Length: 42 
Handshake Protocol: Server Hello 
Handshake Type: Sarver Hello (2) 
Length: 38 
Version: TLS 1.0 (0x0301) 
SS Random 
PER: jan 4, 2012 05:54:01 :O00000000 东京 CE 光 ) 


Session ID Lengih: 0 


2 四 和 Ti ope ER ny (0).., Coe ete 2 


Layer: Handshake Protocol 
i i Handshake (22) 
Version: TLS 1.0 (Ox0301) 
Length: 458 
E Handshake Protocol: Certificate 
Handshake Type: Certificate (11) 
Length: 454 
Certificates Length: 451 
S Certificates (451 bytes) 
Certificate Length: 448 
9 Certiicate (1d-at-commonName=bigipl1.local,!d-at-countryName=JP 
国 5ignedCertiffcate 
n Bloorthmldentiher (shaWrthRSAEncryption) 
Padding: 0 
ed ON 


Fos 81 81 00 ac 6e e5 50 22 5b 51 c6 国 .… .n.P"[Q. 
0lc0 80 32 30e276f30bc2 01 6a28d0 19 d0 1a 0a .20.v... .i(..... 


PP ~? “im Fb AO ON Fn oe oO TF mA An NIN TN S~ NT 1 2 了 


图 3.2.33 ”通过 三 个 进程 宣称 自己 的 身份 
3 ”~ 交换 共享 密 钥 


在 这 个 步骤 中 ， 双 方 交 换 用 于 加 密 消息 的 共享 密 钥 。 客 户 端 确认 服务 et 

误 之 后 ， 会 生成 一 个 叫 作 预 主 秘 钥 的 共享 密 钥 要 素 ， 并 将 其 发 送 给 服务 

个 要 素 并 非 共 享 密 钥 ， 而 只 是 组 成 共享 密 钥 的 素材 ， 实际 上 筑 用 的 共享 密 钥 是 

由 预 主 密 钥 、 通 过 Client Hello 获得 的 client random 以 及 通过 Server Hello 获得 

的 server random 混合 而 成 的 。dlient random 和 server random 由 于 在 一 开始 就 彼 

7 共同 的 部 分 ， 所 以 将 密 钥 素材 发 送 过 去 之 后 ， 就 能 够 生成 同 
pa 攻 享 穹 


客户 端 在 Client Key Exchange 中 用 公 钥 给 预 主 密 钥 加 密 ， 然 后 将 其 发 送 给 服务 
苍 。 服务 器 收 到 后 天 用 秘 钢 为 其 解密 取出 预 主 密 钥 之 后 将 其 与 client random 
和 server random 人 合成， 最终 六 得 到 共享 密 钥 。 


我 用 公 钥 纶 共享 密 丝 的 委 天 
拥 窥 均 后 要 发 给 你 跌 


-= 
Client ee | 
ee | 
客户 凋 》SSL 县 务 器 


[Lull 


了 到 出 预 主 
窗 钼 


人 ER | 三条 训 闪 
的 下 央 的 要 

ctl 医 漳 E33 区 汝 Ea 
医 漳 E33 区 汝 Ea a 


会 成 共 京 密 棚 合成 共计 赚 钥 


图 3.2.34 ”客户 端 将 共享 密 钥 的 要 素 加 密 之 后 发 给 服务 器 
4 -~ ”最 终 确认 


这 个 步 又 是 最 后 的 确认 作业 。 双 方 交换 Change Cipher Spec 并 宣称 使 用 哪 一 种 加 
密 算法 给 消息 加 密 。 这 一 步 的 交互 结束 之 后 ， 才 终于 给 传输 加 密 并 传输 加 密 消 


Change 
一 
一 


一 [全 本 
图 3.2.35 “最 后 彼此 进行 确认 


轿 3 25.959382 10,1.1.100 10.1.1,4 49417 htpsTLSVL Gl sy Exchange, Chahge Cipher Spec, Enery... 


下 Frame 9: 256 bytes on wire (2048 bits), 750 ytos coptured (2048 bits) 
上 Ethernet 11, Src: VMware_c0:00:01 (00:50:56:c0:00:01), Dst: Vmware. 6b:15:d4 (00:0c:29| 
旦 802.1Q Virtual LAN, PRI: 0, CFI: 0, ID: 4094 
& Internet Protocol Sre: 10;1.1;,100 (10.1.1.100), Dst: 10.1.1.4 (10.1.1:4) 
a Transmission Control Protocol Src Port: 49417 (49417), Dst Port: https (443), Seq: 10i, Ar 
iS Secure Socket Laye 
gE TLSvI Record Layer’ Handshake ProtocolllGlient Ke 
Content Type: Handshake (22) 
Version: TLS 1.0 (Ox0301) 
Length; 134 
S Handshake Protocol: Client Key Exchange 
Handshake Type: Client Key Exchange (16) 


wu en :a = I 
B TLSv1 Record Layer: Change Cipher Spec Protocol Tehanoe Epher sbed | 
Content Type: Change Cipher Spec (20) | 
Version: TLS 1.0 (0x0301) | 
ds 
| 


ns Ean RS her st ec Messag a Enervpted ondepake Mecsaoel 
已 TLSV rd Layer: Han shake Protoco | 


~ Type: Handshake (22) | 
Version: TLS 1.0 (0x0301) i 
Length: 48 td rep 

Tose Handshaks, Protoco!l: Encrypted, Handshake Ma ddd | | 


EREEE 


| 
| 
| 


I 


图 3.2.36 ”通过 Client Key Exchange 发 送 共享 密 钥 的 要 素 


图 30 25.961153 10.1.1.4 10,1.1.100 443 49417 TLSYi Change Cipher Spec, Encrypted Handshake Mess... (ue 


9 Frame 10: 117 bytes on wire (936 bits), 117 bytes captured (936 bits) 

5 Ethemet H, Src: Vmware_6b:f5:d4 (00:0c:29:6b:f5:d4), Dst: VMware._ coO:00;01 (00:50:56 
3 802.1Q Virtual LAN, PRI: 0, CFI: 0, ID: 4094 

3 Internet Protocol Src: 10.1.1.4 (10.,1.1.4), Dst: 10.1.1.100 (10.1.1.100) 

1 Transmission Control Protocol, Src Port: https (443), Dst Port: 49417 (49417), Seq: 520, At 
3 Secure Socket Layer 


Content Type: Change Cipher Spec (20) 
Version: TLS 1.0 (Ox0301) 

Length: 1 

Change Cipher Spec Message 


MS Rat bs NS A VMN 


TLSv1 Record Layer: Handshake Protocol: 
Content Type: Handshake (22) 


Version: TLS 1.0 (Ox0301) 表示 Finishad | 已 加 密 ) 
Length: 48 | 


,Handshake Protoco!: .Encrynted, Handshake.Message ,sss 


1 


0030 6cd2 50 18 11 80 96 ba 00 00 EDENTON 1.P.. 

jo040 1603010030b4oe 行 bc857f3a6905a414 ....0... 下. 
|I0050 @9 85 66 eb 58 6a 7c 53 02 ca 8f 97 85 98 a0 67 .上 XjlS .. 

ll0060 6edoec75809afcel 25 6a bf 27 6d 9a 4c ba nN..U.... %j. ed 


Men7a JF dS OF hl 1 


图 3.2.37 大 量 处 理 结束 之 后 ， 加 密 才 得 以 进行 
3.2.2.6 ”用 客户 端 证 书 对 客户 端 进行 认证 


5SL 通信 中 包括 两 个 认证 机 制 ， 一 个 是 服务 器 认证 ， 另 一 个 是 客户 端 认 证 。 服 
务 器 的 认证 要 用 到 服务 器 证 书 ， 客 户 端的 认证 要 用 到 客户 端 证 书 。 


现在 我 们 来 春 重 看 下 容 广 当 消 认 证 。 一 般 来 说 ， 客 户 端 有 两 种 认证 方法 ， 分 别 
是 密码 认证 和 客户 端 认 证 。 密 码 认 证 在 SNS 网 站 和 在 线 购物 网 站 中 也 会 用 到 ， 
大 家 应 该 都 很 熟悉 。 用 户 只 (要 输入 用 户 ID 和 密码 ， 就 会 出 现 相应 的 网 页 。 输入 
用 户 ID 和 密码 的 认证 方法 非常 容易 理解 ， 而 且 无 论 身 在 何 处 ， 只 要 能 够 上 网 就 
可 使 用 ， 若 论 方便 ， 无 出 其 右 者 。 然 而 与 此 同时 ， 这 种 方法 也 十 分 容易 受到 恶 
意 攻 击 ， 一 旦 用 户 ID 和 密码 泄露 ， 谁 都 可 以 利用 它们 去 冒充 真正 的 用 户 。 


客户 端 认 证 就 是 为 了 解决 这 个 易 受 攻击 的 问题 而 出 现 的 。 该 方法 根据 安装 到 客 
户 端的 客户 端 证 书 来 识别 对 方 是 否 为 真正 的 用 户 ， 结 论 是 肯定 的 才 给 予 认证 ， 
也 就 是 用 证 书 取代 了 用 户 ID 和 和 密码。 在 SSL 连接 处 理 中 ，SSL 服务 器 会 要 求 客 
户 端 提供 客户 端 证 书 。 客 户 端 返回 代表 本 机 身份 的 客户 端 证 书 之 后 ， 服 务 器 会 
根据 该 证 书 的 内 容 对 客户 端 进 行 认证 ， 通 过 之 后 才 允 许 连接 。 双 方 互 相 发 送 已 
方 的 证 书 ， 彼 此 进行 身份 认证 ， 安 全 性 就 能 获得 更 高 的 保障 。 


2 


此 
| 下 PP USer01 ee ] 


Web 客户 身 
(Web 浏览 姨 ) 


图 3.2.38 ”两 种 客户 端 认证 机 制 
客户 端 认证 的 连接 处 理 包 括 服务 器 认证 及 其 他 相关 处 理 


除了 前 面 讲述 的 服务 器 认证 的 握手 处 理 之 外 ， 客 户 端 认证 的 SSL 握手 处 理 还 包 
括 请 求 客户 端 证 书 和 对 客户 端 进行 认证 这 两 个 进程 。 


客户 沙 


RN 
“可 用 的 壕 缩 算法 清单 等 


决定 尘 用 这 个 算法 了 


我 可 以 使 用 这 些 算法 


EE 一 :| | 
Wy dE 


‘Wane we . 
ETT TT 
| Hequ 


请 地 你 的 证 书 发 给 我 看 看 


CETTE 
ELITE TITTLEITTE TT EE 
a 


| 我 把 划 至 当 前 为 止 的 询 息 换 玫 
osseessesepsee 区 匀称 只 "sn" 


I 必 入 个 萝 密 算法 宕 吉 咨 "| 


| 


; 没 问 题 


好 的 


图 3.2.39 ” 除 握 手 处 理 之 外 还 要 执行 对 客户 端 进行 认证 的 交互 处 理 
1 -~ 请 求 客户 端 证 书 


和 目 完 要 说 明 的 是 ， 从 一 开始 到 发 送 服 务 絮 证 书 的 Certificate 步骤 为 止 全 都 和 服务 
器 认证 的 步 双 二 样 。 但 接 下 来 ， 服 务 器 将 本 机 的 服务 器 证 书 发 给 客户 端 之 后 ， 
会 通过 Certificate Request 要 求 客 户 端 也 将 客户 端 证 书 发 送 过 来 ， 而 且 会 出 示 可 
以 信任 的 CA 机 构 清单 。 


请 把 你 的 证 书 
发 给 我 看 看 
| | 
客户 端 区 LL 服务 器 
区 
如 时 是 这 家 CA 机 构 发 行 的 
证 书 就 没 问题 


图 3.2.40 ”要 求 发 送 客 户 端 证 书 
2 -~ 发 送 客户 端 证 书 


作为 回应 ， 客 户 端 会 通过 Client Certificate 将 已 安装 到 本 机 上 的 客户 端 证 书 发 送 
给 服务 器 。 如 果 没 有 符合 服务 器 要 求 的 客户 端 证 书 ， 则 返回 no_certificate， 然 后 
连接 如 果 有 多 个 符合 要 求 的 客户 端 证 书 ， 则 在 浏览 器 上 选择 
所“] 


这 就 是 我 的 
证 书 
A 
| 国 Client 
Certificate | = 
客户 沙 ”7 SSL 服务 器 

如 时 没有 合适 的 证 书 则 返回 查看 客户 端 证 书 ， 判 断 
no_certificate 对 方 的 真实 身份 


图 3.2.41 发 送 客 户 端 证 书 
3 ~” ”验证 通信 对 象 的 身份 
接 下 来 ， 客 户 端 在 Client Key Exchange 中 将 预 主 密 钥 发 给 服务 器 ， 这 和 通常 的 


处 理 是 一 样 的 。 然 后 ， 再 通过 Certificate Verify 算出 从 Client Hello 到 Client Key 
Exchange 为 止 交 互 的 消息 摘要 ， 用 秘 钥 加 密 之 后 发 给 服务 器 。 服 务 器 收 到 


Certificate Verify 之 后 ， 用 通过 Client Certificate 收 到 的 客户 端 证 书 中 所 含 的 公 和 钥 
为 其 解密 ， 然 后 将 收 到 的 消息 摘要 和 自己 计算 出 来 的 消息 摘要 进行 对 比 ， 查 看 
数据 是 否 被 自 改 过 ， 随 后 的 处 理 都 和 通常 处 理 一 模 一 样 。 最 后 ， 根 据 上 面 决 定 
的 信息 给 消息 加 密 然后 发 送出 去 。 


和 人 SSL 慑 务 导 
客户 铺 


Certificata 
器 


图 3.2.42 ”将 截至 当前 为 止 的 两 个 消息 摘要 进行 对 比 


3.2.3 ”用 FTP 传输 文件 


正如 其 名 ，FTP (File Transfer Protocol， 文 件 传输 协议 ) 是 一 种 用 于 传输 文件 的 
We 但 是 至 今 仍 在 很 多 


十 9 13.870789 192.159,3,25 192.165.1.20 46044 fp FTP S81 Request: PASS password 

3 Frame 9: 81 bytes on wine (648 bits}, 81 bytes capturaed (648 bits) 

加 Ethernet H, Sre: Vmvare_1b:;27:4b (00:0c:29:1b:27:4b), Dst: AsUstekC _c1:53:0b (e0:cb:4e:c1:53:0b) 
四 Intermet protocol Version 4, Src; 192.168.1.25 (192.169.1.25), Dst: 192.168.1,20 (192.1658.1.20) 

3 Transmission Control Protocol, Src Port: 46044 (46044), Dst Port: fp (21), Seq; 17, Ack: 76, Lan; 15 

3 Flle Trensfer Protocol (FFP) 


本 和 努 并 不 共 备 加 雁 功 能 ， 所 以 


Request command: PASS 只 世人 御 世 密码 衣 会 一 奖 无 仿 


Reoguest arg: Dssword 


0020 01 14 b3dc00155d72 1ddfe00909898018 ..,... I i 
0030 01 sd d6 51 00 000101 080a0002adcc002d ,ma.， 

0040 de 19 ETS TT TE 
0050 加 


图 3.2.43 FTP 本 身 并 不 具备 加 密 功能 


完整 的 FTP 传输 是 将 两 种 连接 组 合 起 来 使 用 的 ， 一 种 叫 作 控制 连接 ， 另 一 种 叫 
作 数 据 连接 。 控 制 连接 用 于 控制 应 用 程序 ， 人 们 用 它 发 送 命令 或 返回 结果 ; 数 


据 连 接 则 用 于 实现 真正 的 数据 传输 。 每 一 条 用 控制 连接 发 出 的 命令 都 会 生成 相 
应 的 数据 连接 ， 在 数据 连接 上 收发 数据 。 


持续 生效 直至 
用 户 登 出 系统 


图 3.2.44 FTP 将 两 种 连接 组 合 起 来 使 用 


说 到 FTP， 必 须要 提 一 个 叫 作 传输 模式 的 重要 概念 。FTP 中 有 两 种 传输 模式 ， 

一 个 是 主动 模式 ， 男 一 个 是 被 动 模式 ， 二 者 生成 数据 连接 的 方式 有 些 不 太一 

ee 
二 


3.2.3.1 ”主动 模式 使 用 特定 的 端口 

FTP 的 主动 模式 是 指 在 控制 连接 中 使 用 TCP/21、 在 数据 连接 中 使 用 TCP/20 的 
模式 。 大 多 数 FTP 客户 端 软件 的 默认 设置 都 是 主动 模式 ， 在 命令 提示 符 中 使 用 
的 、Windows 标准 的 FTP 客户 端 功 能 中 甚至 只 有 这 一 种 模式 。 

主动 模式 是 由 服务 器 方面 发 出 数据 连接 的 连接 请 求 《SYN) 的 ， 是 一 种 特殊 的 


传输 模式 。 几 乎 所 有 的 主 从 式 《客户 端 一 服务 器 ) 架构 协议 都 是 由 客户 端 发 出 
连接 请 求 ， 然 后 由 服务 器 方面 给 出 回复 。 然 而 在 主动 模式 的 数据 连接 中 ， 这 个 


执行 方向 恰恰 相反 ， 


先是 由 服务 器 发 出 连接 请 求 ， 然 


后 由 客户 端 给 出 回复 。 那 


么 ， 我 们 就 假设 客户 端 需要 从 FTP 服务 器 获取 某 个 文件 (RETR) 9 ， 来 看 看 实 
际 的 连接 步骤 是 怎样 的 。 


9 RETR 相当 


于 HTTP 


"的 GET 方法， 下载 文件 


时 要 用 到 它 。 


图 3.2.45 “主动 模式 从 服务 器 一 方 开始 建 立 数据 连接 


1 一 客户 端 向 服务 器 提出 用 TCP/21 连接 的 请 求 ， 三 次 握手 结束 。 到 这 里 还 只 
是 建立 了 控制 连接 。 


2 -~ 在 控制 连接 上 交换 用 户 名 和 密码 之 后 ， 客 户 端 通过 PORT 命令 发 送 用 于 
数据 连接 的 端口 号 要 素 值 ， 该 值 以 PORT<IP 地 址 >,x,y” 的 形式 发 送 。 这 里 重要 
的 并 不 是 卫 地 址 而 是 x 和 y 的 值 ， 用 公式 “256*x 十 算出 来 的 值 就 是 数据 连接 
的 目的 端口 号 ， 将 会 在 步骤 4 - 中 使 用 。 


为 了 帮助 大 家 理解 ， 这 里 举 个 例子 解释 一 下 。 假 设 客户 端 已 通过 PORT 命令 发 
送 了 x=150、y=218 这 两 个 值 (如 下 图 ) ， 那 么 ， 即 将 建立 的 数据 连接 的 目的 
端口 号 就 是 150x256 十 218 二 38618。 


5 Ethernet IT Sre: Vmware_ 1b:27:4b (00:0c:29:1b;27:4b), Dst: AsustekC cl:53:0b (ae0:cb:4e:c1:53:0b) 
s TIntemaet Protocol Version 4, Sre: 192,1698,1,25 (192,169,1,25}), Dst; 192.169.120 (192.169.1.20) 

| Transmission Control Protocot, Src Port: 46044 {46044). Dst Port: fp (21), Seq: 46, Ack: 135; Len; 27 

1E Fie Trensfer Protocol (FTP 通过 PORT 完 令 梅 后 


3 PORT 192;168,1,251150,218F- 俯 用 于 庚 据 连接 的 殉 旧 
Request command: P:RT 所 半天 信和 通 知 给 服务 如 
Regquet arg 192,16¢51,25,150,218 
Active ip address; 19 : 168,1.25 (192,168,1.25) 


Active port ESE 


图 3.2.46 ”通过 PORT 命令 发 送 数 据 连接 的 端口 号 要 素 值 
来 的 ， 这 个 值 不 会 发 送 给 服务 器 。 


CC 


※ 图 中 的 Active port 值 是 由 Wireshark 自动 计算 H 
3 ” 客户 端 通 过 控制 连接 向 服务 器 发 送 RETR (GET) 命令 。 


4 -服务 器 收 到 RETR 命令 之 后 ， 在 源 端 口号 中 写 入 TCP/20， 在 目的 端口 号 
中 写 入 通过 PORT 命令 算出 的 值 (256*x 十 y) 并 请 求 连接 。 这 里 的 连接 请 求 是 
关键 所 在 ， 它 是 由 服务 器 一 方 提出 来 的 。TCP/20 的 三 次 握手 结束 之 后 ， 就 能 将 
应 用 数据 发 送出 去 了 。 


5 ”应 用 数据 一 经 发 送 就 执行 TCP 断 开 处 理 ， 关 闭 数据 连接 ， 但 控制 连接 仍 
继续 生效 。 

6 -~ 最 后 在 用 户 登 出 系统 的 同时 执行 TCP/21 断 开 处 理 ， 关 闭 欣 制 连接 。 至 
此 ， 所 有 的 处 理 才 宣告 结束 。 

3.2.3.2 ”被 动 模式 改变 使 用 的 端口 


FTP 的 被 动 模式 是 指 在 控制 连接 中 使 用 TCP/21、 在 数据 连接 中 使 用 不 特定 端口 
SR 全 方面 的 一 些 考虑 ， 使 用 这 种 模式 的 例子 
乐 渐 多 


被 动 模式 仅 当 客户 端 通知 服务 器 它 处 于 被 动 模式 (PASY 命令 ) 时 才 会 启用 。 数 
据 连 接 的 连接 请 求 (SYN) 是 从 客户 端 发 出 的 ， 从 这 一 点 来 说 ， 几 乎 所 有 的 主 


从 式 (客户 端 一 服务 器 ) 架构 协议 都 是 如 此 。 被 动 模式 的 关键 在 于 它 的 端口 
号 ， 主 动 模式 一 定 会 用 TCP/20， 被 动 模式 则 会 选择 非特 定 的 端口 来 使 用 。 那 
么 ， 我 们 就 假设 客户 端 需要 从 FTP 服务 器 获取 某 个 文件 (RETR 命令 ) ， 来 看 
看 实际 的 连接 步骤 是 怎样 的 。 


1 客户 端 向 服务 器 提出 用 TCP/21 连接 的 请 求 ， 三 次 握手 结束 。 到 这 里 还 只 
征 建立 了 控制 连接 。 


2 ~ ”在 控制 连接 上 交换 用 户 名 和 和 密码 之 后 ， 客 户 端 通过 PASYV 命令 提出 使 用 
被 动 模式 的 请 求 。 


针对 该 请 求 ， 服 务 器 会 返回 一 个 Entering Passive mode 的 提示 ， 同 时 发 送 用 于 数 
据 连 接 的 端口 号 要 素 值 ， 该 值 以 “Entering passive mode<IP 地 址 >,x,y” 的 形式 发 
送 。 这 里 重要 的 并 不 是 人 P 地 址 而 是 x 和 y 的 值 ， 用 公式 “256*x 十 y” 算 出 来 的 值 
就 是 数据 连接 的 目的 端口 号 ， 将 会 在 步骤 3 ~” 中 使 用 。 


为 了 帮助 大 家 理解 ， 这 里 举 个 例子 解释 一 下 。 假 设 客户 端 已 通过 Entering 
passive mode 命令 发 送 了 x=212、y=174 这 两 个 值 (如 下 图 ) ， 那 么 ， 即 将 建 
立 的 数据 连接 的 目的 端口 号 就 是 212x256 十 174=54446。 


看 19.45.6511941 192,168,1.20 192,168,1,25 21 3724 


主 区 


Be 


1S tle Transfer Protocol (FTP) | 


3 227 Entering passive mods (192,168,1,2 En 


Response code: Entering Passiye Mode( 22 


3.2.47 ”通过 Entering passive mode 命令 发 送 数据 连接 的 端口 号 要 素 值 


* 图 中 的 Passive port 值 是 由 Wireshark 自动 计算 出 来 的 ， 这 个 值 不 会 发 送 给 服务 器 。 


3 -~ 客户 端 使 用 控制 连接 向 服务 器 发 送 RETR 命令 。 然 后 在 目的 端口 号 中 写 
入 前 面 通 过 Entering passive mode 命令 计算 出 来 的 端口 号 ， 提 出 连接 请 求 并 生成 
数据 连接 。 顺 便 提 一 句 ， 这 个 时 候 的 源 端 口号 是 随机 的 。 三 次 握手 结束 之 后 数 
据 连 接 得 以 建立 ， 这 样 就 能 在 数据 连接 上 发 送 应 用 数据 了 。 


下 人 数据 一 经 发 送 就 执行 TCP 断 开 处 理 ， 关 闭 数据 连接 ， 但 控制 连接 仍 
纪 祁 做 O 


5 -~ 最 后 在 用 户 登 出 系统 的 同时 执行 TCP/21 断 开 处 理 ， 关 闭 欣 制 连接 。 至 
此 ， 所 有 的 处 理 才 宣告 结束 。 


图 3.2.48 ”被 动 模式 从 客户 端 开始 建立 数据 连接 
3.2.3.3 ”FTP 就 应 该 当 作 FTP 去 处 理 


FTP 是 一 种 比较 特殊 的 应 用 协议 ， 要 用 到 多 个 端口 号 的 各 种 组 合 。 因 此 ， 如 果 
我 们 在 防火 墙 或 负载 均衡 器 中 内 是 把 它 单纯 地 当 作 TCP 连接 去 处 理 (TCE/21 、 
TCP/20) ， 很 可 能 会 产生 前 后 无 法 呼应 的 现象 。FTP 就 应 该 当 作 FTP 去 处 理 ， 
而 且 一 定 要 在 应 用 程序 的 层面 上 处 理 才 行 。 


沪 火 间 
Untrust 
11.1.0/24 222024 


部 合共 允 评 TOPP1， 
籽 无 法 志 闻 获 所 连接 


图 3.2.49 如果 将 FTP 当 作 TCP 去 处 理 ， 很 可 能 会 产生 前 后 无 法 呼应 的 现象 


“FTP 就 应 该 当 作 FTP 去 处 理 ， 而 且 一 定 要 在 应 用 程序 的 层面 上 处 理 ” 这 人 句 话 听 

起 来 似乎 有 些 高 深 ,但 其 实 工作 原理 并 没有 那么 复杂 。 这 里 所 说 的 “应 用 程序 的 

层面 ?可 以 理解 为 FTP 命令 。 防 火 墙 和 负载 均衡 器 监控 着 通过 PORT、PASV 和 

Entering passive mode 命令 交互 的 端口 号 信息 ， 同 时 也 一 直 在 动态 地 等 待 着 后 续 
0 只 要 收 到 数据 连接 的 SYN 包 ， 它 们 就 会 马上 用 等 竺 端口 
进行 处 玫 


“将 FTP 当 作 FTP 处 理 ” 还 涉及 一 个 功能 ， 那 就 是 保持 控制 连接 的 功能 。 我 们 通 
过 数据 连接 传输 数据 的 时 候 ， 挥 制 连 要 是 用 不 上 的 。 然而 ， 如 果 传输 的 数据 很 
大 导致 耗 时 较 长 ， 那 么 控制 连接 可 能 会 因为 连接 空间 时 间 超 过 一 定 限度 而 断 

控 。 为 了 避免 出 现 这 种 情况 ， 人 人 们 想 办 法 做 了 一 些 处 理 ， 让 控制 连接 的 连接 空 

朵 时 间 在 传输 数据 的 过 程 中 绝 不 会 超过 时 间 限 制 。 


谈 到 防火 墙 或 负载 均衡 器 中 的 设置 ， 其 实 几 乎 所 有 的 设备 中 都 定义 了 用 于 识别 
FTP 的 信息 (配置 文件 ) 。 而 且 ， 有 些 设 备 只 要 收 到 来 自 TCP/21 的 连接 就 会 将 
让 当 作 FTP 处 理 。 如 果 我 们 让 这 些 设置 都 生效 ， 设 备 就 会 主动 去 查看 命令 内 容 
并 执行 各 种 处 理 。 


将 


Sy To 
ET 5 
TA | 


图 3.2.51 ”让 控制 连接 的 连接 空闲 时 间 不 会 超时 
3.2.4 用 DNS 解析 和 名称 


DNS (Domain Name System ， 域名 系统 ) 是 一 种 用 于 解析 名 称 的 协议 。 互 联网 
上 分 布 着 众多 IP 地 址 ， 但 是 我 们 不 可 能 为 了 浏览 网 站 而 去 一 一 记 住人 P 地 址 的 那 


些 长 捉 数字 。DNS 就 是 为 了 解决 这 个 问题 应 运 而 生 的 ， 它 为 每 个 IP 地 址 都 到了 
域名 ， 这 样 人 们 记忆 起 来 就 容易 多 了 。 关 于 DNS 的 构造 以 及 应 该 如 何 设置 服务 
句 这 些 深层 次 的 内 容 ， 笔 者 建议 各 位 读者 去 查阅 专业 书籍 ， 而 本 书 仅 从 网 络 这 
个 角度 对 DNS 作 一 些 简单 的 介绍 。 


DNS 会 根据 不 同 的 用 途 选 择 使 用 UDP 或 TCP。 二 者 都 属于 普通 常见 的 连接 ， 下 
面 我 们 来 看 看 它们 分 别 用 于 什么 场合 。 


3.2.4.1 用 UDP 进行 名 称 解 析 


名 称 解析 一 般 会 先 于 网 络 、 邮 件 等 应 用 通信 进行 ， 因 此 速度 是 否 够 快 非常 重 
要 。UDP 的 实时 性 很 高 ， 人 们 在 追求 速度 时 往往 会 选择 它 。 其 实 ， 我 们 在 浏览 
器 上 查看 网 站 内 容 时 ， 并 不 是 通过 该 网 站 的 HTTP 直接 进行 访问 的 。 另 外 ， 我 
们 在 发 送 邮 件 的 时 候 ， 也 不 是 直接 把 邮件 发 送 给 邮件 服务 器 的 。 这 两 种 情况 都 
必须 先 经 过 一 个 叫 作 名 称 解析 的 步骤 。 


DO 的 户 地 址 是 多 少 ? 


Pe 


: UDP : 
: DNS Query Eee ED : 
客户 湛 。 A : ¢ DNS |: DNS 服务 器 
: Response | ; 
是 人 AAA.A 


图 3.2.52 ”名称 解 析 通 过 UDP 追求 实时 性 
1 客户 端 发 通过 UDP 的 DNS 包 向 DNS 服务 器 查询 域名 。 


9 Frome 67: 75 byaron wre (00 bs), 75 bytes captured (S00 bts) 


BB Ethernet H, SIC; AsustekC_c1:53:0b (e0:cb:4e:c1:53:0b), Dst: Buffalo 8e;a6:19 (00:1d:73:8e:56:19) 
问 
BB User Dotagram Protocol Sre Port: 62399 (62399), Dst Port: domain (53) 
| B Domain Neme System (query) 
[Response in: 83] 
Transaction ID; 0x0002 
由 Flags; Ox0100 Standard query 

Questions: 1 

Ansvwer RRe; 0 

Authority RRs: 0 

Additional RRs: 0 


图 3.2.53 ”通过 UDP 请 求解 析 名 称 


2 ~ DNS 服务 器 中 有 区 域 文件 ，IP 地 址 和 域名 信息 就 以 区 域 文件 的 形式 保存 
0 。 收 到 查询 后 ，DNS 服务 器 从 该 文件 中 找到 相应 的 IP 地址 并 将 其 返回 给 
测 [e] 


hemet I Sre: Buffalo 8e:a6:1® (00:1d:73:8E:a6: 四 )， Dst: AsustekC_c1:53:0b (e0:cb:4e:01:53:0b) 
1 Intermet protocol Version 4, Src; 8:8,8,8{(8.8,8,8), Dst: 192.1698.1,20 (192.168.1.20) 
月 UsarPDatagram Protocol, 5rc Port domain (53), Dat Port: 82399 (62399) 
月 Pomain Name System (response) 
IRaquest In: 97] 
{Time; 0.039823000 seconds] 
Transsction 1D: Ox0002 
田 Flags:; Ox8180 Standard query response, NO etror 
Questions: 1 
Answer RR<; 2 
Authority RRs: 0 
Additional RRs: 0 
S Quenes 
BS www,yahoo.co.ip: type A, class IN 


通过 UDP 逃避 依 地 直 
SAIS OR 1 此 钢 是 起 告 知客 户 雍 wwwyahoo.cojip 


Type: A (Host address) 的 护 地 址 为 203.216.243.240) 
Class: IN (0x0001) 


3 Answers 
3 ww.,yahoo.co.Ip: type CNAME, class EN, cname www.g.yahoo.co,Ip 
Name: www,yahoo.co,ip 
Type: CNAME (Canonicsl name for an alias) 
Class; IN (0x0001) 
Time to lve: 14 minutes, 35 seconds 
Dats length; 8 
Primaryname: WwW.g,yahoo,co.p 
Sjwww.g'yahoo.co,Jp: type Ai class IN, addr 203.,216,243.24%0 
Name:; www,g,yahoo.co.jp 
Type: A (Host address) 
Clsss: IN (0x0001) 
Time to lve: 35 seconds 
Data length: 4 
Addr 203,215,243,240 (203.215,243,240) 


图 3.2.54 通过 UDP 返回 IP 地 址 
3 > 客户 端 通过 HTTP 访问 该 IP 地 址 或 者 发 送 邮 件 。 
3.2.4.2 ”用 TCP 进行 区 域 传输 


DNS 是 很 多 应 用 程序 的 幕后 英雄 ， 有 是 非常 重要 的 应 用 协议 ， 在 这 里 发 生 问题 的 
话 就 无 法 进入 后 续 的 应 用 通信 阶段 ， 所 以 人 们 一 般 会 对 DNS 服务 器 进行 元 余 配 
置 以 保证 稳定 地 提供 名 称 解 析 服务 。 区 域 传输 就 是 用 于 DNS 服务 器 见 余 配置 的 
一 项 功能 。DNS 服务 器 以 区 域 文 件 的 形式 保存 看 IP 地 址 和 域名 信息 ， 区 域 传输 
就 是 用 来 同步 此 文件 的 功能 。 通 过 区 域 传输 功能 在 0 

同步 区 域 文件 ， 以 此 来 保证 元 余 效果 。 主 服务 器 如 果 宕 机 ， 就 通过 从 属 服务 

的 区 域 文件 给 出 回复 。 区 域 传输 并 不 需要 实时 进行 ， 对 它 来 说 可 靠 性 才 是 最 重 

要 的 ， 因 此 人 们 一 般 选 择 使 用 TCP 来 实现 这 个 功能 ， 具 体 步 又 如 下 图 所 示 。 请 
注意 ， 这 里 画 的 只 是 DNS 服务 器 的 事实 标准 一 一 BIND 软件 的 工作 机 制 。 
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图 3.2.55 ”用 TCP 进行 区 域 传输 


1 当 区 域 文件 的 有 效 期 已 过 或 是 收 到 notify 消息 时 ， 从 属 服务 器 会 通过 
UDP/53 请 求 主 服 务 器 发 送 SOA 记录 。SOA 记录 中 包含 着 DNS 服务 器 的 管理 信 


局。 


[99 8.101193 192.169.1.25 160 126 192.169.1,.25 9198 domaln DNS 83 Standard query PGIcS 5DASEm8E | 


NI Frarms S90: ZUVtesonTWIE[S5e HK 87 bytes captured (650 DRS) | 
ls Ethernet H, Sre: Vmware_62:¢3:b0 (00:0¢:29:62:c3:b0), Dst: Vmware_ 1b:27:4b (00:0c!:29;1b:27:3b) 
Intemet Protoco! Version 4 Sre: 192.168,1.26 (192.168,1.25), es 192.168.1,25 {192.168.1,25) 


3 Domain Name System (query) 
| [Rssponse In: 100] | 
| Transaction ID: Ox31c5 
| 下 Flegs: 0x0000 Standard query 

Questions: 1 
ANnswer RRs: 0 
| Authority RRs; D 
Additional RRs: 1 
局 Queries 
Slexsmple.com: type SOA, clsss IN 
Name: example,com 充 环 通过 UDP 


| Type: SOA (Start of zone of authority) 发 送 SOA 记 菏 a | 


| 加 Additional records 


图 3.2.56 ”先是 通过 UDP 请 求 发 送 SOA 记录 
2 -~ 主 服 务 器 通过 UDP/53 将 区 域 文件 中 的 SOA 记录 返回 给 从 属 服务 器 。 


5 SOA ni。 [LE 


Hu Framea 100: 15 EonN Wre{ 528 DIE 191 bytes coptured (1525 bas) 
Ehernet Ty Se: Vmware_ 1b: 27: ab (00:0c:29:1b:27:4b), Dst: VMware 62:c3:b0 (00:0c:29:62:c3:b0) 
SF 192-168- 1.25 {192.169.1.25), Dst: 192.168,1.25 {192.168,1.25) 


© Domain Name System Cp 
ye 
{Time: 0.000488000 seconds] 
Transaction ID: Ox31c5 
® Flags: Ox8480 Standard query responsa, No error 
Questions: 1 
Ansver RRs; 1 
Authonty RRs; 2 
Additional RRs; 3 
S Queries 
三 exsmple.com: type SOA, clsss IN 
Name: example,com 
Type: SOA (Start of zone of authority) 
Ciass: IN (Ox0001) 
日 Answers 
Siexemple.com: type SOA, ciess IN, mname nsl.example:com 
Name: exarmple,com 
Type: SOA (Start of zone of wuthority} 
Class: IN (QOx0001) 
Time to live; 7 days 
Data length: 33 
Primary Neme Server: Nsl.exomple.com 
Rasponsible author 0 
Refresh Interval; 604800 (7 days) Eee 
Retry Interval; 86400 (1 day) 
Expire limx; 2419200 (28 days) 
Minimum TTL: 604800 (7 days) 


图 3.2.57 通过 UDP 返回 SOA 记录 

3 -从 属 服 务 器 收 到 SOA 记录 之 后 会 查看 其 中 的 序列 号 。 序 列 号 代表 区 域 文 
件 的 版 本 编号 ， 1 新 的 区 域 文件 (有 高 于 自身 版 本 的 区 域 
文件 ) 存在 ， 就 会 通过 TCP/53 请 求 主 服 务 器 进行 区 域 传输 。 


4 - ” 主 服 务 器 通过 TCP/53 返回 区 域 信息 ， 区 域 传输 到 此 结束 。 


加 Internet Protocol Version 3, Ste: 192.168.1. 26 192.168.1. 26), Dst: 192.168.1. A 至 
[Eransmisslon Control protocol, Sic Port: 60348 (50348), Dst Port: domain (53) Seq: 3, Ack: 1, Len: 29 
| [2 Reassembled TCP Segments (31 bytes): #104(2), #106(29)] 

'B Domain Neme System (query) 


Langth; 29 
Transection 1D; 0x9a9e 
印 Fags: 0x0000 Standard query 
Questions: 1 
An5wer RRs: D 
Authority RRs: O 
Additonal RRs: 0 


Name: I com 
Type: AXFR (Request for full zone trensfer) 


图 3.2.58 ”请 求 主 服 务 器 进行 区 域 传输 


27:4b (00:;0c:29:;1b:27:4b), Dst: Vmware_ 62:c3:b0 (00:0c:29:62:c3:b0) 
hemet Protocol Veraon 4, see: 192,168.1.25 192.169.1.25), Dst: 192.168.1,26 (192.168.1.26 


SB Domain Name System tesponse) 
ma 
[Time; 0.000557000 seconds] 
Length: 248 
Transaction ID: 0x9a9e 
四 Flags: Ox8480 Standard query response, NO error 


9 Queries 
E exsmple.com: type AXFR, ciass IN 
Neme; axample,com 
Type: AXFR (Request for full zone transfer) 
Clsss; IN (0x0001) 
| SS Answers 
由 example.com: type SOA, class IN, mname nsl,.example.com 
EE axample.com; type NS, class IN, rs nsi,example.com 
四 exampie,com: type NS, class IN, ns ns2.example.com 
EB axsmpla.com: type A, cinss IN, addr 192.168.1.25 
BB sexsmple.com: type A, clas IN, addr 192.168.,1.25 


WW nsl.exsmple,com: type A, lass IN, addr 192,168,1,25 

EB ns2.axample.com; type A, dass IN, addr 192,169,1,26 

EG wwwl.exemple.com: type A, cisss IN, addr 192.168;1.20 

田 www2.example.com: type A, class IN, addr 192.158.1.21 

E exsmple.com: type SOA, class IN, mname nsi.example.com 


图 3.2.59 ”通过 TCP 返回 区 域 信息 


3.3 ”数据 安全 设计 与 负载 均衡 设计 


到 此 为 止 ， 我们 已 经 学 习 了 从 传输 层 到 应 用 层 的 各 种 技术 和 设计 规格 〈 协 
议 ) 。 接 下 来 ， 本 书 将 从 实用 性 的 角度 讲解 如 何在 服务 器 端 使 用 这 些 技 术 ， 以 
及 我 们 在 设计 和 架构 网 站 时 必须 注意 的 一 些 事 项 。 


3.3.1 ”数据 安全 设计 


首先 我 们 来 看 数据 安全 设计 。 在 这 里 ， 我 们 要 考虑 的 是 如 何 配置 安全 区 域 以 及 
如 何 确保 数据 安全 。 用 户 和 系 统管 理 人 员 追 求 的 数据 安全 是 在 不 断 变 化 的 > 
此 我 们 应 该 制定 出 一 套 容易 理解 、 简 明 扼要 的 安全 策略 ， 使 之 无 论 何 时 、 无 论 
遇 到 怎样 的 要 求 都 能 够 应 付 目 如 。 


3.3.1.1 ”整理 出 真正 需要 的 通信 


数据 安全 设计 中 最 关键 的 一 点 是 理 请 通信 需求 。 这 里 所 说 的 通信 需求 是 指 要 从 
哪里 〈 源 ) 向 哪里 (目的) 进行 怎样 的 通信 (协议) 。 我 们 应 整理 出 这 项 需求 
es 并 将 它们 落实 到 防火 墙 的 安全 策略 中 去 。 不 同 的 网 站 有 着 不 同 的 

通信 需求， 如果 通信 知 求 的 数量 偏 少 ， 不 妨 参考 一 下 表 3.3.1 中 的 形式 进行 统一 
管理 方便 日 后 查询 。 


表 3.3.1 将 通信 和 需求 整理 成 表格 ,方便 日 后 查询 


E/N 区 
公开 服务 上 公司 内 部 服务 部 VLAN 


公开 Web 服务 器 |， SS 
。 外 部 DNS 服务 器 和 公司 站 大 NS 县 考 光 公司 内 部 币 | 公司 内 部 用 


。 外 部 邮件 服务 器 ee 后 
。 外 部 代理 服务 站 | ”ie aa 0 


s | 内 他 香 38 
as NTP 急 务 型 内 爷 邮 件 服务 右 


HTTP { TCP/80 ) 
HTTPS ( TCP/443 ) 
DNS [ UDP/S3 ) 
SMTP ( TCP/25 ) 
HTTP ( TCP/80 ) 
HTTPS ( TCP/443) 
DNS { UDP/53 SMTP { TCP/25 ) 
SMTP (TCP/25 ) 
NTP { UDP/123) 


Proxy ( TCP/8080 ) 
公司 内 部 股 DNS ( UDP/53 ) 
务 弱 VLAN SMTP { TCP/25 ) 

NTP ( UDP/123 ) 


Proxy ( TCP/8080 ) 
公司 内 者 击 SMTP { UDP/25 ) 
PVLANCD POP [ TCP/110 ) 

AD 相关 (| TCP/UDP } 


Proxy ( TCP/B080 ] 
公司 内 部 再 SMTP (UDP25 ) 
户 VLAN(2 POP [TCP/110 ) 

AD 相关 (TCP/UDP ) 


汪 考虑 到 排版 问题 ， 表 中 内 容 略 有 简化 。 
定义 安全 区 域 


安全 区 域 指 处 于 同一 数据 安全 水 平 的 VLAN 群 。 实 际 上 这 个 区 域 要 用 到 一 些 彼 
此 之 间 稍 有 差异 的 安全 策略 ， 所 以 并 不 是 完全 统一 的 ， 但 将 它们 粗略 地 划分 一 

会 让 人 更 容易 理解 。 我 们 应 根据 前 面 理 清 的 通信 和 需求 进一步 整理 出 几 个 不 同 
的 数据 安全 水 平 ， 然 后 将 它们 分 别 定义 成 不 同 的 区 域 。 设 计时 将 各 区 域 明确 定 
义 好 ， 将 来 就 不 必 做 大 量 的 设置 修改 ， 管 理 起 来 会 轻松 很 多 。 人 们 一 般 将 数据 
安全 水 平分 成 三 个 区 域 来 管理 ， 分 别 是 Untrust 区 域 、DMZ 区 域 和 Trust 区 域 ， 
下 面 就 针对 这 三 个 区 域 逐 一 进行 讲解 。 


。 Untrust 区 域 
Untrust 区 域 位 于 防火 墙 外 侧 ， 是 不 可 信任 的 区 域 。 三 个 区 域 中 数 它 的 数据 


安全 水 平 最 低 ， 不 适合 配置 各 种 服务 器 ， 事 实 上 也 绝 不 能 将 服务 器 配置 到 
这 里 。 如 有 果 网 站 需要 设置 一 台 在 互联 网 上 公开 的 服务 器 ， 那 么 我 们 可 以 认 


为 Untrust 区 域 和 互联 网 就 是 一 回 事 。 防 火 墙 是 为 了 防止 系统 受到 来 自 
Untrust 区 域 的 网 络 攻击 而 存在 的 。 


。DMZ 区 域 


DMZ 区 域 相当 于 Untrust 区 域 和 Trust 区 域 之 间 的 一 个 缓冲 层 。 它 的 数据 安 
全 水 平 比 Untrust 区 域 高 ， 比 Trust 区 域 低 ， a 。 人 们 在 
DMZ 区 域 配置 与 Untrust 区 域 直接 进行 交互 的 公开 服务 如 公开 Web 服 
务 器 、 外 部 DNS 服务 器 、 代 理 服 务 器 等 。 由 手相 特定 的 大 量 用 户 会 来 访问 
这 些 服务 器 ， 所 以 从 数据 安全 的 角度 来 说 ， 公 开 服 务 器 是 非常 危险 的 ， 有 
可 能 受到 形形色色 的 恶意 攻击 甚至 遭 到 劫 持 。 不 怕 一 万 ， 就 怕 万 一 ， 为 了 
将 不 良 影响 降 到 最 低 程度 ， 我 们 要 控制 它 和 Trust 区 域 之 间 的 通信 


Trust 区 域 
Trust 区 域 位 于 防火 墙 内 侧 ， 是 可 以 信任 的 区 域 。 三 个 区 域 中 数 它 的 数据 安 


全 水 平 最 高 ， 我 们 应 不 惜 一 切 代 价 去 保护 它 。 非 公开 服务 器 和 公司 内 部 用 
户 都 配置 在 这 个 区 域 里 。 


ETE 


Jntrust 久 注 
互 获 网 
L3 交换机 之 全 
L3 交换 机 L3 交换 机 水 平时 低 
【活动 状态 i 箱 机 状态 : 
; [而 束 是 在 去 卫 两 上 | 
E 全 的 让 可 以 
VEAN 浪 Untnst 区 天 和 | 
;五 联 吧 是 网 一 加 事 
RIP, re a pr 
译 这 里 配置 时 卫 ee Ee 
Trust 市 声 VLAN 


L3 交换 机 换 机 
(1 Stack Master ) er Membar 


:| 公开 股 务 器 《公开 总 务 独 。 【公开 不 务 回 a: :gf 公 避风 部 最 务 如 。 公司 山寺 项 务 加 nigh i 
:VAN VANG VEANG | VEANG : VEAND VIAND VEANGS VIANG): 


ETE 


图 3.3.1 定义 安全 区 域 
将 通信 要 素 分 组 管理 


理 清 需要 怎样 的 通信 之 后 ， 我 们 应 该 提取 出 其 中 的 要 素 (IP 地 址 、 网 络 、 协 议 
等 ) ， 并 对 这 些 要 素 进 行 分 组 管理 。 乍 一 看 这 项 工作 没有 任何 意义 ， 但 实际 上 
它 对 今后 的 运行 管理 起 着 非常 重要 的 作用 。 


提取 要 又 并 进行 分 组 管理 ， 这 听 起 来 也 许 有 些 复杂 。 为 了 帮助 大 家 理解 这 一 

对 ， 下 面 举 一 个 网 络 设计 中 十 分 利多 的 例子 来 说 明 。 得 设 Tree; 区 域 中 褒 五 个 公 
司 内 部 用 户 VLAN， 而 我 们 需要 允许 它们 通 往 互联 网 (Untrust 区 域 ) 的 所 有 通 
言 。 这 时 候 ， 一 般 人 都 会 想到 这 个 办 法 ， 先 将 这 五 个 公司 内 部 用 户 VLAN 定义 
成 网 络 对 象 ， 然 后 制定 五 个 访问 控制 的 策略 。 但 是 这 个 办 法 有 一 个 缺点 ， 那 就 
是 每 增加 一 个 用 户 VLAN， 就 要 相应 地 增加 一 个 访问 控制 策略 ， 这 会 导致 运行 
管理 效率 低下 。 我 们 不 妨 换 一 个 思路 ， 将 五 个 公司 内 部 用 户 VLAN 定义 成 一 个 

组 ， 然 后 允许 该 用 户 VLAN 组 通 往 豆 联 网 的 所 有 通信 。 这 样 即使 用 户 VLAN 
不 断 增 加 ， 我 们 也 只 需 在 该 组 中 添加 新 的 网 络 对 象 即 可 ， 不 必 一 个 个 地 去 制定 
访问 控制 的 策略 。 访 问 控制 策略 越 少 就 越 容 易 管 理 ， 因 此 ， 我 们 应 该 充分 利用 
分 组 这 个 办 法 来 实现 高 效 的 运行 管理 。 


| 
VANG 


汪汪 证 :所 


一 个 个 章 独 去 设 壮 的 活 ， 
规则 只 会 越 来 越 多 


公司 内 部 用 户 
VEAN 组 到 一 个 组 里 夫 


pr 


图 3.3.2 通过 分 组 管理 简化 规则 


分 组 管理 中 有 两 个 容易 被 忽视 的 重要 环 万， 那 就 是 设置 时 要 用 到 的 对 象 名 称 和 
组 名 。 我 们 应 预先 设 计 好 明日 易 懂 的 命名 规则 ， 这 对 今后 的 管理 大 有 神 益 ， 也 
能 帮助 未 来 接替 的 管理 人 员 迅 速 掌握 情况 。 


选择 合适 的 访问 控制 策略 


理 清 通信 需求 并 分 好 组 之 后 ， 我 们 就 要 决定 合适 的 访问 控制 策略 了 ， 有 具体 说 来 
就 是 要 决定 允许 哪些 通信 、 拒 绝 哪些 通信 以 及 人 允许 的 话 要 允许 多 少 、 拒 绝 的 话 
拒绝 多 少 通信 。 如 采 只 允许 最 低 限 度 的 必需 通信 当然 会 很 安全 ， 但 这 种 情况 的 
管理 会 非常 麻烦 。 数 据 安全 水 平和 运行 管理 的 作业 时 间 基 本 上 有 是 成 正比 的 ， 前 
后 者 就 越 长 。 因 此 我 们 需要 综合 考虑 多 方 因素 ， 选 择 整体 上 比较 均衡 
水 用 


一 般 说 来 ， 如 果 通 信 的 方向 是 从 数据 安全 水 平 较 低 的 区 域 到 较 高 的 区 域 (例如 
从 Untrust 区 域 到 DMZ 区 域 或 从 DMZ 区 域 到 Trust 区 域 ) ， 我 们 只 能 允许 最 低 
限度 的 必需 通信 通过 ， 如 果 是 相反 方向 的 通信 则 可 以 适当 地 放 帘 限制 。 


Untrust 区 域 
(数据 安全 水 平 较 低 ) 


只 对 许 最 低 限度 的 考虑 规则 的 时 候 
必需 通信 通过 适当 地 放宽 限制 


DMZ 区 域 
( 数据 安全 水 平 居中 ) 


只 人 允许 最 低 限度 的 券 虑 规则 的 时 候 
人 


Trust 区 域 


( 数据 安全 水 平 较 高 ) 


图 3.3.3 ”如 果 通 信和 的 方向 是 从 数据 安全 水 平 较 低 的 区 域 到 较 高 的 区 域 ， 只 能 允 
许 最 低 限 度 的 必需 通信 通过 


3.3.1.2 ”通过 多 级 防御 提高 安全 系数 
最 近 的 防火 墙 新 增 了 不 少 功能 如 果 光 是 翻 看 使 用 手册 ， 简 直 会 让 人 以 为 防火 


者 是 无 所 不 能 的 。 不 过 ， 防 火 墙 的 监控 对 象 毕 竞 仅 限于 那些 要 经 过 防火 墙 的 通 
信 ， 人 们 也 不 可 能 将 所 有 的 功能 都 集中 在 防火 墙 身 上 ， 所 以 我 们 应 该 做 的 是 将 


防火 墙 和 专用 的 设备 、 专 用 软件 搭配 使 用 以 形成 多 级 防御 ， 保 护 系 统 不 受 侵 
害 。 多 级 防御 是 数据 安全 的 根本 原则 ， 在 这 方面 我 们 绝 不 能 马虎 行事 、 掉 以 轻 
夕 oO 


仔细 斯 酌 需要 使 用 哪些 功能 


前 面 已 经 提 到 过 ， 最 近 出 现 了 一 种 UTM 形式 的 新 型 防火 墙 ， 兼 具 多 种 功能 。 然 
而 这 种 防火 墙 是 一 把 双 刃 剑 ， 功 能 太 多 以 至 于 性 能 极其 低下 。 在 某 些 场合 ， 和 
只 作 通 信 欣 制 时 的 吞吐 量 相 比 ， 这 种 防火 墙 在 所 有 功能 都 被 激活 时 的 吞吐 量 仅 
为 前 者 的 十 分 之 一 。 无 仑 是 什么 设备 都 有 目 己 的 强项 和 弱项 ， 我 们 不 能 将 所 有 
的 功能 都 交 给 UTM 防火 墙 去 实现 ， 而 应 该 找 出 最 适合 它 去 执行 的 功能 ， 不 足 之 
0 将 它们 混搭 使 用 以 达到 博 采 从 家 之 长 的 


另外 ， 在 选择 功能 的 时 候 还 应 该 考虑 该 功能 以 往 的 实际 使 用 情况 如 何 。 如 果 不 
加 调查 就 启用 新 增 的 功能 ， 很 可 能 会 遇 到 重大 缺陷 ， 最 终 导 致 宕 机 。 对 于 系统 
来 说 稳定 性 是 最 重要 的 ， 所 以 我 们 必须 谨慎 启用 新 功能 ， 务 必 在 弄 清 它们 的 实 
际 使 用 情况 是 否 值得 信任 之 后 再 作 决定 ， 以 免 沦 为 无 晨 的 牺牲 品 。 


VS 抽风 次 。 | 【和 大 和 站 寺 而 展区 
SSEVPN 装置 | 专用 的 设备 去 执行 - 


个 个 如 时 将 所 有 功能 祝 激 


污 , : 统 尖 墙 的 件 能 多 
会 天 大陆 低 


UTM [ Unified Thraat Managsment 


图 3.3.4 ”将 不 同 的 功能 混搭 使 用 
3.3.1.3 ”默认 启动 的 服务 应 控制 在 最 小 范围 内 


网 络 设备 的 默认 设置 会 启动 很 多 服务 ， 这 可 能 会 导致 设备 容易 受到 恶意 攻击 。 
例如 ， 在 思科 公司 的 交换 机 和 路 由 器 中 ， 管 理 方面 的 一 些 服务 是 默认 为 开启 

的 ， 包 括 HTTP 服务 和 Telnet 服务 等 ， 因 此 HTTP 访问 和 Telnet 访问 都 不 会 受 
到 阻碍 ， ee 攻击 的 一 面 。 为 了 规避 这 类 风险 ， 我 们 
应 将 局 动 的 服务 控制 在 所 需 的 最 小 范围 内 ， 保护 设备 不 受 恶 意 攻 击 。 当 然 ， 从 
管理 的 角度 上 看 有 些 服务 是 不 可 关闭 的 ， 遇 到 那样 的 情况 ， 我 们 应 该 对 g 够 访 
问 的 网 络 进行 限制 ， 将 可 能 发 生 的 不 良 影响 控制 在 最 小 范围 之 内 。 


关闭 非 必需 的 


服务 


通过 限制 源 IP 去 精简 运行 管理 公司 内 部 
真正 所 需 的 服务 访问 
图 3.3.5 默认 启动 的 服务 应 控制 在 最 小 范围 内 

3.3.2 ”负载 均衡 设计 


下 面 我 们 来 看 负载 均衡 设计 。 在 这 里 ， 我 们 要 考虑 的 是 如 何 均衡 分 配 应 用 程序 
的 信息 流量 负荷 ， 以 及 在 哪个 层面 上 进行 该 分 配 。 最 近 人 们 开发 出 来 的 绝 大 多 
数 应 用 程序 都 能 够 在 网 络 上 流通 使 用 ， 这 使 得 网 络 信 息 流量 持续 猩 漳 。 与 此 同 
时 ， 通 信 本 身 也 在 变 得 更 为 多 元 化 。 如 何 合理 地 分 配 日 益 增 多 的 信息 流量 、 使 
负荷 能 够 均衡 分 配 ， 对 系统 来 说 是 一 个 非常 重要 的 问题 。 


3.3.2.1 ”要 高 效 地 均衡 负载 


负载 均衡 设计 中 最 关键 的 一 点 是 理 清 应 用 程序 层面 的 通信 需求 。 对 于 在 数据 安 
全 设计 中 整理 出 来 的 < 从 哪里 向 哪里 进行 怎样 的 通信 ?的 具体 内 容 ， 我 们 应 在 负 
载 均衡 设计 中 将 它们 落实 到 应 用 程序 的 层面 上 去 


整理 出 真正 需要 均衡 负载 的 通信 


并 不 是 所 有 的 通信 都 需要 进行 负载 均衡 。 首 先 ， 我 们 应 该 从 前 面 整理 好 的 通信 
中 挑选 出 真正 需要 进行 负载 均衡 的 对 象 。 如 果 是 在 互联 网 上 公开 的 网 站 ， 那 么 
a ie el 通过 负载 均衡 郁 对 互联 
网 上 由 大 量 的 不 特定 用 户 带 来 的 信息 流量 进行 均衡 分 配 。 


整理 出 应 用 程序 层面 的 通信 类 型 


最 近 的 负载 均衡 器 多 为 应 用 交付 控制 器 的 形式 ， 应 用 程序 层面 的 控制 比 以 往 更 
Lr 变 得 更 加 多 元 化 了 。 下 面 我 们 来 逐一 看 下 


这 里 最 关键 的 一 点 在 于 是 否 需 要 会 话 保持 。 人 负载 均衡 器 的 工作 原理 是 将 连接 分 
散 到 多 个 服务 器 上 ， 以 此 来 均衡 负荷 ， 但 是 这 种 分 散 处 理 很 可 能 会 引起 应 用 程 
序 前 后 无 法 呼应 的 不 展 后果 。 所 以 ， 我 们 一 定 要 仔细 其 酌 是 否 真 的 需要 会 话 保 


持 。 


如 有 果 回 答 是 肯定 的 ， 那 么 接 下 来 就 要 确定 使 用 哪 种 会 话 保持 以 及 采用 什么 


时 效 值 。 


会 话 保 持 的 种 类 


常用 的 会 话 保持 有 两 种 ， 分 别 是 源 IP 地 址 会 话 保 持 和 Cookie 会 话 保持 
(Insert 模式 ) ， 这 在 3.1.3.2 节 中 已 经 介绍 过 了 。 源 人 P 地 址 会 话 保 持 属于 
网 络 层 的 处 理 ， 无 需 考 虑 应 用 程序 。Cookie 会 话 保 持 则 需要 执行 一 个 应 用 
程序 层面 的 处 理 ， 即 HTTP 报头 揪 入 处 理 ， 如 果 选 择 它 来 实施 会 话 保持 ， 
我 们 还 需要 做 一 些 测试 以 确保 该 处 理 对 应 用 程序 没有 影响 。 


超时 时 限 


会 话 超时 要 比 应 用 程序 超时 时 限 稍 长 才 行 。 太 短 的 话 ， 应 用 程序 在 超时 之 
前 就 被 分 配 到 别 的 服务 器 上 去 了 ， 这 会 导致 应 用 程序 前 后 无 法 呼应 ， 反 过 
来 ， 太 长 的 话 ， 保 持 记录 不 仅 澡 无 意义 ， 还 会 额外 地 消耗 负载 均衡 器 的 资 
源 。 所 以 在 时 效 值 这 方面 ， 我 们 也 必须 仔细 确认 超时 的 话 设 备 会 有 怎样 的 
反应 。 如 果 只 做 几 个 简单 的 测试 就 收场 ， 看 到 负载 均衡 和 会 话 保持 成 功 就 
以 为 万 事 大 吉 ， 那 么 到 后 面 很 有 可 能 就 会 吃 大 首 头 。 


es 只要 


”处 过 糊 未 蛙 来 ， 就 必用 
Ga en. 宪 同一 台 妥 务 中 上 流行 


Er 


处 理 尚 未 绪 来 就 会 被 
分 配 论 别 的 服务 器 


如 时 会 活 超时 洒 改 


额外 地 湖 耕 资源 


图 3.3.6 根据 应 用 程序 超时 时 限 设置 会 话 超时 


确定 将 健康 检查 做 到 哪个 层次 


最 近 的 服务 器 负载 均衡 环境 中 有 两 种 不 同 层 次 的 健康 检查 ， 能 够 帮助 我 们 将 不 
同类 别 的 故障 轻松 地 划分 开 。 例 如 ，HTTP 服务 器 的 健康 检查 是 这 样 的 : 通过 


L3 检查 来 检查 IP 地 址 是 否 正 常 ， 通 过 L4 检查 或 L7 检查 来 检查 服务 或 应 用 程 


序 是 否 正 常 。 
要 本 | 
200 要 本 | 


负载 均衡 器 


图 3.3.7 执行 两 种 不 同 层次 的 健康 检查 


这 里 需要 注意 的 是 ， 务 必 对 健康 检查 和 服务 器 负 奏 进行 全 面 、 综 合 的 考量 ， 把 
握 它 们 之 间 的 平衡 。 下 面 我 们 从 间隔 和 层次 这 两 个 角度 来 具体 看 一 下 。 


。 健 康 检查 的 间隔 
健康 检查 的 间隔 越 短 ， 检 测 出 故障 的 速度 就 越 快 。 但 契 频 率 越南 ， 服务 句 
承载 的 负荷 也 就 越 大 。 我 们 设计 的 时 候 必须 要 考虑 到 这 一 点 ， 让 健康 检查 
的 间 阳 不 会 影响 到 服务 。 


负载 均衡 其 负载 均衡 器 


sD 


人 


Web 服务 


党 


图 3.3.8 ”健康 检查 的 间隔 不 能 太 短 
。 健康 检查 的 层次 


L3 检查 只 是 一 种 ICMP 的 交互 ， 我 们 不 必 将 它 视 为 服务 万 的 负 何 去 考虑 。 
问题 在 于 男 一 个 健康 检查 一 一 L7 检查 。 执 行 L7 检查 能 够 检测 到 应 用 程序 
层面 的 故障 ， 但 是 与 此 同时 ， 该 检查 也 会 增加 服务 右 的 负 厨 。 对 HTTPS 的 
健康 检查 就 是 一 个 很 好 的 例子 ，HTTPS 需要 不 断 重复 执行 负荷 较 大 的 SSL 
握手 处 理 ， 很 容易 成 为 服务 器 的 一 道 沉重 人 负荷， 如 果 再 加 上 LL7 检查 的 负 
何 ， 服 务 器 多 半 会 不 培 其 牺 。 明 到 这 种 情况 ， 我 们 可 将 健康 检查 的 层次 降 
到 L4， 尺 量 减少 其 对 服务 的 影响 。 


负载 均衡 器 


改 为 不 会 给 卢 务 句 
带 米 区 和 荷 的 监控 


图 3.3.9 ”选择 不 会 给 服务 器 带 来 沉重 负荷 的 健康 检查 
由 服务 器 规格 和 通信 类 型 决定 负载 均衡 方式 


负载 均衡 方式 也 是 非常 重要 的 设计 要 素 之 一 。 负 载 均衡 方式 有 很 多 种 ， 各 有 各 
的 优点 和 缺点 ， 而 且 到 育 哪 一 种 最 合适 会 受到 真实 服务 器 环境 的 影响 ， 所 以 我 
们 应 在 综合 考虑 之 后 再 做 选择 。 不 同 设备 能 够 使 用 的 负载 均衡 方式 也 不 同 ， 比 
较 常 用 的 有 三 种 ， 分 别 是 轮 询 、 加 权 和 比例 以 及 最 少 连 接 数 。 下 表 中 列 出 了 它 
们 各 目的 优 缺 点 ， 以 供 各 位 读者 参考 。 


表 3.3.2 ”要 在 理解 各 方式 优 缺 点 的 基础 上 选择 负载 均衡 方式 


方式 优点 缺点 


配 时 并 不 考虑 每 台 负 : 
et 4 服务 器 可 能 会 不 典 重 负 。 因 此 必须 和 权重 和 比例 广 
。 如 果 每 个 请 求 的 处 理 时 | 式 同时 使 用 ) 


时 
间 都 一 样 ， 就 能 发 挥 巨大 寺 于 需要 会 话 保持 的 应 用 程序 无 法 均等 地 分 配 负荷 
的 作用 如 每 个 请 求 的 处 理 时 间 参 差 不 齐 ， 就 无 法 均等 地 分 配 


3 
< 


e 可 根据 负载 均衡 服务 器 每 个 请 求 的 处 理 时 间 参 差 不 齐 ， 就 无 法 均等 地 分 配 
的 规格 进行 分 配 


I FE 
二 
冰 形 


根据 负载 均衡 服务 器 
9 规格 进行 分 配 

J 于 需要 会 话 保持 的 应 
旦 序 也 能 均等 地 分 配 负 |e 如果 没有 完全 理解 应 用 程序 的 运行 过 程 ， 就 很 难 明 
载 均衡 的 分 配 过 程 


时 


配 负荷 


3.3.2.2 ”启用 哪些 可 选 功能 


负载 均衡 器 还 有 不 少 可 选 功能 ， 包 括 SSL 加 速 功能 、HTTP 压缩 功能 和 连接 汇 
集 功 能 等 。 在 我 们 的 设计 中 ， 启 用 哪些 可 选 功 能 也 是 一 项 非常 重要 的 选择 。 


准备 证 书 


SSL 加 速 功能 应 该 是 可 选 功能 中 最 常用 的 一 种 功能 。 局 用 该 功能 时 ， 负 载 均衡 
句 本 身 即 拥有 秘 钥 和 数字 证 书 〈 公 钥 ) 。 


对 于 新 建 的 网 站 ， 我 们 应 通过 人 负载 均衡 器 生成 CSR， 并 将 其 发 送 给 CA 机 构 ， 
然后 将 已 被 赋予 数字 签名 的 数字 证 书 安装 到 服务 器 中 去 。 生 成 CSR 时 要 注意 密 
钥 的 长 度 ， 以 往 密 钥 长 度 大 多 为 1024 位 ， 但 出 于 安全 方面 的 考虑 ， 现 在 正 逐 渐 
向 2048 位 转弯。 不同 的 CA 机 构 会 要 求 不 同 的 密 钥 长 度 ， 所 以 我 们 预先 要 向 
CA 机 构 确认 清楚 。 此 外 ， 使 用 2048 位 时 负载 均衡 器 能 够 处 理 的 TPS (每 秒 钟 
0 
设备 的 规格 。 


如 果 环 境 中 已 有 SSL 服务 器 存在 ， 那 我 们 就 得 将 安装 到 SSL 服务 器 中 的 秘 钥 和 
证 书 全 部 转移 到 负载 均衡 器 中 去 。 


-一 二 
一 
HTTP 
Web 窗户 端 

( Web 浏览 器 ] 

新 建 网 站 起 由 

负载 均衡 器 生 

成 密 乌 对 的 


如 时 将 说 术 由 SSL 酸 盆 恬 处 再 
的 内 容 进 行 SSL 加 加 处 理 , 就 得 
将 秘 钥 和 公 乌 转移 过 去 


图 3.3.10 ”负载 均衡 器 拥有 和 密 钥 对 
启用 HTTP 压缩 功能 之 前 要 预览 效果 


对 设计 人 员 来 说 ，HTTP 压缩 是 一 项 顺 难 取 金 的 功能 。 因 为 它 能 发 挥 多 大 的 效用 
取决 于 网 站 内 容 ， 而 且 并 不 是 在 所 有 网 站 中 都 能 发 挥 巨大 作用 的 ， 所 以 无 法 一 
概 而 论 。 最 近 出 现 了 一 种 能 够 确认 压缩 效果 的 网 站 ， 在 启用 压缩 功能 之 前 最 
好 能 先 利用 这 样 的 网 站 预 宽 一 下 ， 看 看 效果 如 何 。 


| 10 http://www.gidnetwork.com/tools/gzip-test.php 
启用 连接 汇集 功能 之 前 必须 遮 慎 测试 


连接 汇集 功能 能 够 大 大 减少 服务 器 的 TCP 处 理 负 荷 ， 是 一 种 非常 不 错 的 功能 。 
但 是 它 会 执行 一 道 比 较 复 杂 的 应 用 程序 处 理 ， 即 将 来 自 客户 端的 应 用 程序 信息 
流量 在 负载 均衡 器 内 展开 还 原 ， 然 后 再 交 给 服务 器 。 因 此 ， 当 服务 器 几乎 同时 
收 到 来 自 多 个 用 户 的 应 用 程序 信息 流量 时 ， 可 能 会 在 应 用 程序 上 做 出 一 些 反 常 
的 动作 ， 例 如 删除 报头 、 修 改 IP 地 址 ， 等 等 。 考 虑 到 这 个 负面 影响 ， 我 们 在 局 
用 该 功能 之 前 必须 非常 前 异地 进行 测试 才 行 。 


第 4 章 高 可 用 性 设计 
本 章 概要 


本 章 将 要 介绍 对 于 提高 服务 器 端 可 用 性 来 说 所 必需 的 元 余 技术 和 使 用 该 技 
术 时 的 设计 要 点 ， 以 及 各 种 结构 类 型 中 的 通信 流 。 


人 见 余 配置 指 的 十 为 了 保证 高 可 
用 性 而 对 系统 进行 多 重 备份 。 ， 可 以 说 所 有 的 关键 任务 系统 都 处 于 网 
络 之 上 。 在 这 样 的 环境 中 ， 即使 是 分 钟 、 一 秒 钟 的 系统 宕 机 都 是 足以 致 
命 的 。 从 无 到 有 地 建立 信任 关系 需要 耗费 大 量 的 时 间 ， 失 去 它 却 只 要 一 甩 
眼 的 工夫 。 所 以 ， 我 们 必须 设计 出 合理 并 且 充 分 的 元 余 结构 以 实现 高 可 用 
性 ， 这 样 才能 避免 失去 客户 的 信任 。 


4.1 宛 余 技术 


从 物理 层 到 应 用 层 之 中 存在 着 多 种 多 样 的 见 余 技 术 。 在 服务 器 系统 中 ， 所 有 层 
的 所 有 关键 设备 都 需要 无 一 遗漏 地 进行 元 余 配置 ， 本 书 将 从 中 选 出 与 网 络 相关 
的 元 余 技 术 以 及 设计 时 必须 注意 的 事项 ， 逐 一 分 层 解说 。 


4.1.1 物理 层 的 元 余 技 术 


物理 层 的 见 余 技术 是 通过 将 多 个 物理 要 素 集 结 成 一 个 逻辑 要 素 的 形式 来 实现 
的 。 听 起 来 似乎 很 高 深 ,但 大 家 不 用 想 得 太 复杂 。 这 人 句 话 的 意思 束 是 ， 不 管 物 
理 要 素 有 多 少 ， 我 们 只 需 把 它们 当成 一 个 整体 去 看 待 就 好 了 。 


这 些 要 素 中 ， 本 书 将 看 重 解 况 链 接 、 设备 和 网 卡 这 三 种 物理 要 素 ， 中 间 会 穿插 
些 其 他 相关 的 内 容 


4.1.1.1 将 多 条 物理 链 路 集结 成 一 条 远 辑 链 路 


将 多 条 物理 链 路 集结 成 一 条 逻辑 链 路 ， 这 叫 作 链 路 聚合 。 用 思科 公司 的 术语 来 
说 叫 作 “以 太 通 道 >， 用 圳 普 公 司 和 F5 Networks 公司 的 术语 来 说 叫 作 “端口 汇 
聚 。(trunk) ， 实 际 上 都 是 同 个 意思 。 链 路 聚合 是 一 种 让 链 路 的 训 宽 扩展 和 链 
路 本 身 的 备份 能 够 同时 实现 的 技术 。 


中 


[mm | 将 物理 游 D 集 结 。 将 多 条 物理 链 路 集结 到 
: 到 逮 辑 端口 中 去 ” 一 条 敢 辑 链 路 中 去 | 


: pd | 物理 链 路 rn 


图 4.1.1 将 多 条 物理 链 路 集结 成 一 条 逻辑 链 路 


链 路 聚合 将 交换 机 的 多 个 物理 端口 捆绑 在 一 起 形成 一 个 逻辑 端口 ， 直 这 个 端口 
和 男 一 台 交 换 机 的 逻辑 端口 连接 ， 以 此 来 生成 逻辑 链 路 。 正 常情 况 下 ， 聚 合 起 
来 的 多 条 物理 链 路 就 好 像 一 条 链 路 那样 工作 ， 能 够 确保 所 有 物理 链 路 所 需 的 市 
宽 。 当 链 路 发 生 故 障 时 ， 故 障 链 路 会 被 断 开 ， 切 换 成 元 余 应 对 。 因 故障 引起 的 
人 ping 的 层面 上 看 只 有 短 短 的 一 秒 钟 ， 因 此 ， 对 应 用 程序 层面 几乎 是 
没有 任何 影响 的 。 


能 够 确保 所 有 物理 链 路 所 需 的 带宽 
淡 好 1Gbit/sx2 的 带宽 


:i 物理 链 圳 入 Gbitjs ) 


TT 


EI 


ii 物理 链 略 (1Gbitls) i 于 E 


通过 别 的 物理 
于 


i 。 物理 链 路 (1Gbit/s ) 


时 
时 
人 
时 


将 发 生 故障 的 
物理 链 路 断 开 


图 4.1.2 ”通过 链 路 聚合 同时 时 间 带 宽 扩 展 和 链 路 备份 
模式 大 致 可 分 为 三 种 


链 路 聚合 大 致 可 分 为 三 种 模式 ， 分 别 是 静态 、PAgP (Port Aggregation Protocol， 
端口 聚合 协议 ) 和 LACP (Link 0 Control Protocol， 链 路 聚合 控制 协 
议 ) 模式 ， 它 们 彼此 之 间 互 不 兼容 ， 设 计时 我 们 只 能 选择 其 中 一 种 使 用 。 


静态 是 将 链 路 无 条 件 地 集结 到 链 路 聚合 中 ， 从 而 形成 一 条 逻辑 链 路 的 模 


式 。 它 不 需要 用 到 太 多 的 协议 ， 在 三 种 模式 中 是 最 简单 易 懂 的 。 如 果 选 择 
静 仿 模式 ， 那 么 两 端的 设备 必须 部 设置 成 静态 模式 才 行 。 


四 邵 己 秆 时 插 吾 车 二 


图 4.1.3 ”选择 静态 时 必须 将 两 端 设备 都 设置 成 静态 模式 
PAgP 


PAgP 是 一 种 用 来 目 动 生 成 链 路 诊 合 的 协议 。 它 是 思科 公司 专 有 的 协议 ， 如 
果 服 务 器 环境 全 部 采用 思科 公司 的 设备 ， 那 么 最 好 选择 它 。PAgP 向 对 方 发 
出 征询 的 试探 包 之 后 ， 逻 辑 链 路 就 会 目 动 生成 。 


PAgP 有 两 种 工作 模式 ， 一 种 是 协商 (Desirable) 模式 ， 另 一 种 则 是 自动 
(Auto) 模式 。 打 个 形象 的 比方 来 说 ， 协 商 模式 相当 于 肉食 动物 ， 自 动 模 
式 则 相当 于 草食 动物 。 协 商 模式 主动 向 对 方 发 送 PAgP 包 ， 积 极地 要 求 建立 
自动 模式 则 是 被 动 地 接收 对 方 发 来 的 PAgP 包 ， 人 然后 才 建立 逻辑 

过 


在 进行 普通 的 网 络 设计 时 ， 为 了 统一 设置 ， 人 们 往往 会 将 两 端 设备 都 设置 
成 协商 模式 。 
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图 4.1.4 选择 PAgP 时 一 般 会 设置 成 协商 模式 
LACP 


LACP 也 是 一 种 用 来 所 自动 生成 链 路 聚合 的 协议 ， 不 过 它 是 基于 IEEE802.3ad 
进行 标准 化 的 ， 能 够 用 在 由 多 家 供应 商 提 供 的 不 同 品牌 的 设备 组 成 的 网 络 
环境 中 。LACP 揣 向 对 方 发 出 征询 的 坛 探 包 之 后 逻辑 链 路 就 会 自动 生成 。 


LACP 有 两 种 工作 模式 ， 一 种 是 主动 (Active) 模式 ， 另 一 种 则 是 被 动 
(Passive) 模式 ， 它 们 分 别 相当 于 PAgP 的 协 商 模式 和 E 动 模式 。 主 动 模式 


主动 向 对 方 发 送 LACP 包 ， 积 极地 要 求 建立 逻辑 链 路 ;被 动 模式 则 是 被 动 
地 接收 对 方 发 来 的 LACP 包 ， 然 后 才 建 立 逻 辑 链 路 。 


在 进行 普通 的 网 络 设计 时 ， 为 了 统一 设置 ， 人 们 往往 会 将 两 端 设 备 都 设置 


成 主动 模式 。 
到- + 区 
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:| |: 交换 机 
图 4.1.5 选择 LACP 时 一 般 会 设置 成 主动 模式 
负载 均衡 方式 非常 重要 


说 到 链 路 聚合 中 的 扩展 带宽 ， 其 原理 不 过 是 将 负荷 分 散 到 各 条 物理 链 路 中 去 而 
已 。 这 样 ， 在 实际 传输 帧 的 时 候 ， 每 一 条 物理 链 路 都 会 承担 一 部 分 负 傈 ， 于 是 
从 全 局 来 看 就 实现 了 带宽 扩展 。 这 里 的 关键 在 于 采用 什么 负载 均衡 方式 ， 如 果 
错误 地 选择 了 不 合适 的 负载 均衡 算法 ， 物 理 链 路 的 负荷 就 会 有 所 偏重 ， 从 而 达 
不 到 均衡 分 配 的 效 末 。 


图 4.1.6 ”通过 负载 均衡 在 全 局 上 实现 带宽 扩展 


我 们 来 看 一 个 具体 的 例子 吧 。 思 科 公 司 的 Catalyst2960/3750 系列 设备 默认 的 负 
载 均衡 方式 是 使 用 源 MAC 地 址 。 如 果 我 们 基于 源 MAC 地 址 去 分 散 负荷 ， 那 么 
来 自 不 同 VLAN 的 通信 就 会 大 量 集中 到 一 条 物理 链 路 上 。 为 什么 会 这 样 呢 ? 
为 来 自 不 同 VLAN 的 通信 的 源 MAC 地 址 一 定 是 默认 网 关 的 MAC 地 址 ， 因 此 只 
会 用 到 一 条 物理 链 路 ， 导 致 通信 效率 低下 。 


可 能 的 话 ， 最 好 将 负载 均衡 安排 在 传输 层 ( 源 / 目 的 端口 号 ) 或 者 网 络 层 ( 源 / 
目的 卫 地 址 ) ， 这 样 负载 均衡 的 效率 会 比较 高 。 采 用 哪 一 种 负载 均衡 方式 应 该 
视 具体 的 设备 而 定 ， 所 以 我 们 一 定 要 预先 确认 好 设备 的 规格 。 


4.1.7 基于 源 MAC 地 址 分 散 负荷 会 使 通信 有 所 偏重 ， 导 致 负载 无 法 均衡 分 


| 
加 


Catalyst 
2960 


源 / 髓 的 人 坊 
负 栽 均 兢 


图 4.1.8 ”改变 负载 均衡 方式 以 扩展 带宽 


4.1.1.2 ”将 多 个 物理 网 卡 集结 成 一 个 逻辑 网 卡 


将 多 个 物理 网 卡 集结 成 一 个 逻辑 网 卡 ， 这 叫 作 网 卡 组 合 ， 用 Linux 的 术语 来 说 

叫 作 网 卡 绑 定 ， 我 们 可 以 认为 二 者 是 同一 个 意思 。 网 卡 组 合 是 一 种 让 带宽 扩展 

和 网 卡 备份 能 够 同时 实现 的 技术 ， 由 于 它 是 对 服务 器 网 卡 进 行 的 设置 ， 乍 一 看 

和 网 络 似乎 没有 什么 关系 ， 但 实际 上 它 和 网 络 的 见 余 设计 息息相关 ， 适 当 了 解 

| °。 本 书 将 按 物 理 环境 和 虚拟 环境 分 别 介绍 几 种 比较 常用 的 网 
组 合 方式 ，。 


: 全 将 物理 网 卡 集结 : 
: 2 : 


; | 逻辑 层面 : 


服务 器 了 


图 4.1.9 ”将 多 个 物理 网 卡 集结 成 一 个 逻辑 网 卡 
掌握 物理 环境 的 三 种 网 卡 组 合 方式 


物理 环境 中 的 网 卡 组 合 是 通过 软件 设置 出 来 的 。 说 到 比较 知名 的 网 卡 组 合 软 

件 ， 那 就 要 数 Intel PROSet 和 BACS/BASP 了 。 网 卡 组 合 设置 好 以 后 ， 一 个 新 的 
逻辑 网 卡 就 建成 了 ， 我 们 就 可 以 在 这 个 新 的 逻辑 网 卡 上 进行 下 一 步 的 动作 。 另 
外 ， 组 合 网 卡 的 时 候 我 们 必须 指定 使 用 哪 一 种 组 合 方式 。 


在 物理 环境 中 可 以 使 用 的 网 卡 组 合 方式 有 很 多 种 ， 其 中 比较 常用 的 有 三 种 ， 分 
别 为 AFT (Adapter Fault Tolerance， 适 配器 容错 ) 、ALB (Adapter Load 
Balancing， 适 配器 负载 均衡 ) 和 链 路 聚合 。 这 里 ， 我 们 以 通过 Intel PROSet 软件 
设置 网 卡 组 合 为 例 来 看 一 下 这 三 种 组 合 方式 。 


。 AFT 


AFT 是 对 物理 网 卡 进行 元 余 配置 的 一 种 模式 。 它 在 服务 右上 泌 配 有 两 个 网 
卡 ， 一 个 是 活动 网 卡 ， 另 一 个 则 是 待机 网 卡 。 正 常情 况 下 仅 使 用 活动 网 
卡 ， 当 活动 网 卡 发 生 故 障 时 执行 故障 转移 ， 由 街机 网 卡 顶替 活动 网 卡 工 
作 。 由 于 一 般 情况 下 AFT 仅 使 用 活动 网 卡 ， 所 以 两 个 物理 网 卡 的 通信 量 是 
完全 分 离开 的 ， 一 旦 活动 网 卡 的 处 理 量 达到 最 大 极限 ， 就 无 法 再 接受 更 多 
的 通信 。 不 过 AFT 即使 发 生 故 障 也 容易 排除 ， 加 上 运行 管理 简便 易 行 ， 因 
此 容易 获得 系统 管理 人 员 的 青睐 。 


ne 一 般 情 况 下 仅 由 活动 
- 网 卡 传输 数据 


待机 网 卡 切换 成 
活动 网 卡 


图 4.1.10 ”AFT 由 活动 网 卡 和 待机 网 卡 构成 


。 ALB 


ALB 是 让 物理 网 卡 的 见 余 配置 和 带宽 扩展 同时 实现 的 一 种 模式 。 它 同样 是 
在 服务 器 上 装配 两 个 网 卡 ， 一 个 是 活动 网 卡 ， 另 一 个 是 待机 网 卡 *， 不 过 一 
般 情 况 下 两 个 网 卡 都 会 用 到 。 如 果 其 中 一 个 网 卡 发 生 故 障 ， 就 通过 另 一 个 
网 卡 维持 通信 。ALB 在 一 般 情况 下 就 使 用 两 个 网 卡 ， 所 以 通信 效率 要 比 


AFT 高 。 然 而 它 有 一 个 设计 上 的 缺点 一 一 由 于 两 个 网 卡 都 必须 连接 到 同一 
台 交 换 机 上 才 行 ， 所 以 一 旦 连接 的 那 合 交换 机 发 生 故 障 ， 通 信 就 会 中 断 ?2 。 


两 个 网 卡 均 处 于 
活动 状态 前 提 条 件 是 两 个 网 卡 都 和 
同一 台 交 换 机 相连 


图 4.1.11 ALB 也 由 活动 网 卡 和 待机 网 卡 构成 
链 路 聚合 


前 面 我 们 介绍 过 物理 链 路 的 链 路 聚合 ， 这 里 的 链 路 聚合 可 以 理解 为 是 网 卡 
版 本 的 链 路 聚合 ， 它 能 让 带宽 扩展 和 物理 网 卡 备份 同时 实现 。 一 般 情 况 
下 ， 该 模式 会 根据 一 定 的 方式 去 选择 通信 的 物理 网 卡 并 扩展 带宽 。 如 有 果 同 
组 中 的 某 个 网 卡 发 生 故 障 ， 就 会 立刻 切换 成 男 一 个 网 卡 ， 确 保 通 信 正 常 进 
行 。 链 路 聚合 在 一 般 情 况 下 就 使 用 所 有 物理 网 卡 ， 因 此 通信 效率 较 高 。 然 
而 它 有 一 人 
外 ， 由 于 交换 机 也 需要 设置 链 路 聚合 ， 所 以 服务 器 负责 人 员 和 网 络 负责 人 
员 应 就 采用 哪 种 协议 和 负载 均衡 方式 进行 充分 的 讨论 和 商议 。 


两 个 网 卡 均 处 于 
活动 状态 


对 交换 机 也 要 设置 
和 链 路 聚合 


图 4.1.12 ”交换 机 也 需要 设置 链 路 聚合 


1 实际 上 并 非 所 有 通信 都 会 交 给 活动 / 待机 网 卡 去 处 理 。 只 有 发 往 不同 VLAN 的 数据 包 才 会 被 分 配给 双 网 
卡 (基于 目的 IP 地 址 分 配 ) ， “其他 也 数据 包 〈 广 播 数据 包 、 多 播 数据 包 以 及 发 往 同一 VLAN 或 是 同一 
VLAN 收 到 的 数据 包 ) 则 是 由 早已 定义 好 的 主 网 卡 去 处 理 的 。 


2 对 于 这 种 情况 ， 我 们 需要 利用 StackWise 技术 或 VSS 架构 出 一 台 逻 辑 交换 机 ， 并 将 连接 的 物理 交换 机 分 
。 关 于 StackWise 技术 和 VSS 将 4.1.1.3 节 中 详细 说 明 。 


3 对 于 这 种 情况 ， 我 们 需要 利用 StackWise 技术 或 VSS 将 几 台 交换 机 集结 成 一 台 逻 辑 交 换 机 ， 并 将 连接 的 
物理 换 机 分 开 。 


在 虚拟 交换 机 中 设置 虚拟 环境 的 网 卡 组 合 


虚拟 环境 中 的 网 卡 组 合 是 在 虚拟 软件 超级 管理 程序 上 的 虚拟 交换 机 中 设置 的 。 
虚拟 机 通过 虚拟 交换 机 和 物理 环境 连接 ， 将 物理 网 卡 关 联 到 虚拟 交换 机 上 ， 然 
后 通过 该 物理 网 卡 建立 网 卡 组 合 。 虚 拟 环境 的 网 卡 组 合 有 两 个 要 点 ， 分 别 是 故 
障 检测 和 负载 均衡 方式 。 


。 故障 检测 
故障 检测 指 的 是 根据 什么 信息 来 检测 故障 。 例 如 ，VMware 中 有 两 种 故障 检 


测 机 制 ， 一 种 叫 作 链 路 状态 检测 ， 另 一 种 叫 作 信 标 检测 ， 二 者 之 间 的 差异 
在 于 它们 作用 的 层 不 同 。 


根据 链 路 状态 检测 
是 否 发 生 故 障 


Te vSwiteh 虚拟 机 通过 虚拟 
Cn (虚拟 交换机 ) 交换 机 进入 真实 
网 卡 进 行 组 合 的 物理 世界 


亲本 和 有 


图 4.1.13 ”根据 链 路 状态 检测 是 否 发 生 故 障 


链 路 状态 检测 是 在 物理 层 对 链 路 状态 (连接 还 是 断 开 ) 进行 检测 ， 信 标 检 
测 则 是 在 数据 链 路 层 周 期 性 地 发 送 符 殊 的 帧 “并 确认 其 丢失 情况 ， 以 此 来 进 
行 检测 。 二 者 之 间 ， 笔 者 推荐 采用 前 者 。 这 是 因为 采用 信 标 检测 时 ， 信 标 


帧 可 能 会 被 其 他 设备 误 判 为 非法 帧 ， 而 且 有 时 该 机 制 检 测 不 出 正在 发 生 的 
故障 ， 这 点 需要 多 加 注意 。 


负载 均衡 方式 


虚拟 环境 中 的 网 卡 组 合同 样 是 一 种 通过 将 通信 分 散 到 各 个 物理 网 卡 上 ， 使 
带宽 扩展 和 网 卡 备 份 能 够 同时 实现 的 技术 。 负 载 均 衡 方式 指 的 是 采用 哪些 
物理 网 卡 。VMware 中 有 四 种 负载 均衡 方式 ， 分 别 为 明确 的 故障 转移 、 基 于 
端口 ID 的 负载 均衡 、 基 于 源 MAC 哈 希 的 负载 均衡 和 基于 IP 哈 希 的 负载 均 
衡 。 其 中 最 为 常用 的 是 明确 的 故障 转移 和 基于 端口 ID 的 负载 均衡 方式 。 


基于 虚拟 端口 
选择 使 用 哪 一 
个 物理 网 卡 


VSWEEP 虚拟 机 和 虚拟 端口 
《 庚 拟 交换 机 ) | 


I = I 


生 才 大 亲人 


图 4.1.14 基于 虚拟 端口 的 端口 ID 选择 使 用 的 物理 网 卡 


明确 的 故障 转移 是 指 在 服务 器 上 装配 两 个 网 卡 ， 一 个 是 活动 网 卡 ， 另 一 个 
则 是 待机 网 卡 。 正 常情 况 下 仅 使 用 活动 网 卡 ， 当 活动 网 卡 发 生 故 障 时 执行 
故障 转移 ， 由 待机 网 卡 顶 蕉 活动 网 卡 工作 。 


基于 端口 ID 的 负载 均衡 则 是 一 种 以 端口 为 单位 切换 使 用 网 卡 的 负载 均衡 方 
式 。 这 里 所 说 的 端口 不 是 TCP 或 UDP 的 端口 号 ， 而 是 虚拟 机 所 连接 的 虚拟 
交换 机 的 虚拟 端口 。 为 每 个 虚拟 端口 号 (端口 D) 选择 与 之 对 应 的 物理 网 
卡 ， 就 能 够 实现 全 局 意义 上 的 负载 均衡 。 


4 该 帧 的 源 MAC 地 址 为 物理 网 卡 的 MAC 地 址 ， 目 的 MAC 地 址 为 广播 MAC 地 址 ， 以 太 网 类 型 为 
Ox05ff 。 


将 不 同 种 类 的 物理 网 卡 组 合 使 用 


我 们 在 组 合 网 卡 时 还 需要 充分 考虑 物理 网 卡 的 配置 问题 。 用 于 服务 器 的 物理 网 
卡 大 致 可 分 为 两 类 ， 一 类 是 安装 在 主板 上 的 板 载 网 卡 ， 男 一 类 则 是 添加 在 扩展 
揪 槽 中 的 扩展 网 卡 。 我 们 应 尽量 将 这 两 类 网 卡 组 合 使 用 以 提高 元 余 效果 。 假 如 
我 们 只 选择 四 端口 的 扩展 网 卡 绑 定 成 组 ， 那 么 扩展 插 权 一 旦 坏 掉 ， 通 信 就 会 中 
断 。 所 以 ， 为 了 尽量 减少 因 物 理 构 成 要 素 发 生 故 障 而 造成 的 影响 ， 我 们 应 将 扩 
展 网 卡 和 板 载 网 卡 组 合 使 用 。 


oo 将 相 阿 种 类 的 爽 卡 给 合 使 用 上 +t | 社 币 司 种 类 的 癌 卡 绍 合 使 用 。 |，… 


如 时 两 下 组合 中 的 
河 卡 为 相隔 种 奖 

都 委 该 夸 件 一 各 报 

二 遂 信 就 会 由 虑 

二 VSWitoh 

> 渤 Wbd | 
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图 4.1.15 ”将 不 同 种 类 的 网 卡 组 合 使 用 
务必 将 连接 的 对 象 分 开 


我 们 在 组 合 网 卡 时 还 需要 考虑 物理 网 卡 的 连接 对 象 。 如 果 将 物理 网 卡 都 连接 到 
同一 台 物 理 交 换 机 上 ， 那 么 该 交换 机 一 旦 损坏 我 们 就 无 力 回 天 了 。 所 以 ， 应 将 
ed 
物理 交换 机 发 生 故 障 时 ， 另 一 台 仍然 可 用 。 


负 比 均 名 号 
村 机 秘 雄 


负 半 均 贫 虽 
往 训 六 六 


图 4.1.16 分 别 连接 不 同 的 物理 交换 机 
刀片 服务 器 让 物理 结构 得 以 简化 


刀片 服务 器 是 将 名 为 “刀片 ”的 薄型 服务 器 插入 名 为 “刀片 机 箱 ” 的 外 壳 中 使 用 的 一 
种 服务 器 ” 。 一 般 来 说 ， 服 务 器 数量 较 多 时 布线 作业 就 会 非常 麻烦 ， 刀 片 服务 器 
则 能 够 大 大 地 简化 布线 作业 并 提高 机 架 集 中 率 ， 从 而 使 设备 物理 层面 的 运行 管 
理工 作 变 得 轻松 。 如 今 ， 刀 片 服 务 器 正在 逐渐 成 为 系统 架构 的 必 备 要 素 之 一 。 


| 5 有 些 生 产 商 可 能 会 使 用 不 同 的 称呼 ， 本 书 选 择 使 用 比较 常用 的 称呼 来 进行 讲解 。 


当 我 们 将 刀片 从 刀片 机 箱 的 正面 插入 时 ， 闭 在 刀片 机 箱 背 面 的 扩展 模块 就 会 目 
动 完成 内 部 的 连接 布线 。 那 些 连接 结构 我 们 是 看 不 到 的 ， 因 此 ， 刀 片 服务 器 刚 
刚 问 世 时 人 们 常常 半信半疑 ， 担 心 它 是 否 真 的 完成 了 连接 布线 ， 不 过 事实 证 明 
那些 担心 都 征 多 余 的 。 


图 4.1.17 刀片 服务 器 内 部 会 自动 连接 布线 
扩展 模块 有 很 多 种 类 。 种 类 不 同 ， 网 络 结构 就 不 同 ， 负 责 维 扩 的 工程 师 也 束 不 


国有 


下 面 ， 本 书 将 选择 网 络 工程 师 负责 范围 内 的 、 比 较 常 用 的 交换 机 模块 来 进 


行 介 绍 


交换 机 模块 是 怎么 一 回 事 呢 ? 想象 一 下 刀片 机 箱 中 藏 着 一 台 交 换 机 ， 你 就 
能 心领神会 了 。 前 面 已 经 讲 过 ， 我 们 将 刀片 插入 刀片 机 箱 后 ， 机 箱 内 部 会 
动 完 成 连接 布线 的 工作 。 刀 片 的 插入 位 置 〈 播 槽 ) 和 安装 在 刀片 中 的 夹 
层 卡 5 决定 了 接线 的 位 置 。 举 例 来 说 ， 如 果 将 刀片 插入 插 槽 1， 它 就 会 连接 
到 各 个 交换 机 模块 的 1 号 端口 ， 将 刀片 插入 插 权 2， 它 就 会 连接 到 各 个 交换 
机 模块 的 2 号 端口 。 原 本 露 在 外 面 的 线 缆 全 部 在 机 箱 内 部 彼此 相 接 ， 因 此 
也 不 再 需要 进行 与 服务 器 之 间 的 布线 工作 。 需 要 布线 的 地 方 仅 剩 一 处 ， 那 
就 是 通过 外 部 端口 与 外 部 交换 机 连接 的 那个 部 分 。 


II 


; | 交换 机 模块 自动 完成 内 部 的 连 
;| 接 布 线 ， 从 外 面 是 看 不 见 的 


端口 号 取决 于 刀片 的 
插 宰 和 类 层 直 - 


用 外 部 背 吕 与 外 部 
交换 机 和 连接 


图 4.1.18 ”连接 端口 取决 于 刀片 插入 的 播 模 


我 们 在 使 用 交换 机 模块 的 时 候 ， 必 须 注 意 它 和 管理 模块 之 间 的 关系 。 刀 片 
服务 器 的 整体 管理 是 通过 一 个 叫 作 管理 模块 的 模块 实现 的 ， 它 在 IBM 刀片 
服务 器 中 心 被 称 为 AMM (Advanced Management Module， 高 级 管理 模 


块 ) ， 在 惠普 刀片 服务 器 系统 中 则 被 称 为 OA (Onboard Administrator， 板 
载 管理 器 ) 。 交 换 机 本 身 也 受 管理 模块 的 管理 ， 在 默认 状态 下 其 IP 地 址 和 
主机 名 都 是 由 管理 模块 设置 的 。 此 外 ， 对 交换 机 的 管理 访问 也 必须 经 过 管 
理 模块 才 行 ， 有 些 设计 还 规定 了 它 必 须 使 用 不 同 于 服务 右 的 VLAN。 这 些 
规格 上 的 细节 我 们 都 必须 仔细 确认 。 当 然 ， 我 们 也 可 以 将 交换 机 模块 设置 
成 不 受 管理 模块 管理 的 形式 ， 如 果 染 构 工作 全 部 由 网 络 工程 师 来 完成 ， 那 
么 我 们 应 将 它 排除 到 管理 模块 的 管理 范围 之 外 。 


6 指 插入 刀片 的 主板 来 使 用 的 扩展 卡 。 
4.1.1.3 ”将 多 人 台 物 理 设备 集结 成 一 台 逻 辑 设 备 


最 近 ， 将 多 台 物 理 设备 集结 成 一 台 逻 辑 设 备 的 技术 获得 了 急速 的 普及 。 这 项 技 
术 能 够 一 举 解决 网 络 中 存在 的 多 个 问题 ， 包 括 见 余 配 置 、 增 强 传 输 能 力 、 无 环 
ee A 


这 种 类 型 的 见 余 技术 分 为 好 几 种 ， 针 对 不 同 的 设备 应 采用 不 同 的 技术 。 下 面 ， 
本 书 将 要 介绍 可 以 用 于 思科 公司 Catalyst3750 系列 的 StackWise 技术 和 可 以 用 于 
Catalyst6500/6800 系列 的 VSS (Virtual Switching System ， 虚 拟 交 换 系 统 ) 的 设 
计 要 点 。 


StackWise 技术 


StackWise 技术 是 一 项 可 以 用 于 Catalyst3750 系列 和 刀片 交换 机 的 元 余 技术 。 它 
使 用 特殊 的 堆 车 线 ， 能 够 连接 的 交换 机 多 达 九 台 ， 进 而 将 这 些 交 换 机 集结 成 一 
台 巨 大 的 逻辑 交换 机 。 从 物理 层面 来 看 存在 着 多 台 交 换 机 ， 然 而 从 逻辑 层面 来 
看 就 像 只 有 一 台 交 换 机 在 工作 。 因 此 ， 系 统管 理 人 员 需 要 管理 的 IP 地 址 和 各 种 
设置 信息 等 设计 要 点 也 都 只 有 一 个 。 


CE 


; | 物理 层面 i 将 多 台 物理 交换 机 集结 成 
[em 人 一 台 温 辑 交换 机 


Catalyst : : Catalyst 


逻辑 层面 看 起 来 就 像 只 有 一 台 
交换 机 在 王 作 


Catalyst 3750 | 


图 4.1.19 将 多 台 物 理 交 换 机 集结 成 一 台 逻 辑 交 换 机 
。 选 出 主 交换 机 


形成 扒 三 的 交换 机 由 一 台 负 责 全 局 管控 的 主 交 换 机 和 儿 人 台 分 交换 机 构成 。 
主 交换 机 负责 处 理 单 播 和 多 播 的 路 由 选择 ， 以 及 复制 各 分 交换 机 的 设置 信 
息 和 传输 信息 (FIB 表 ”) 等 工作 ， 在 堆肥 中 扮演 着 最 重要 的 角色 。 
StackWise 技术 让 主 交换 机 集中 执行 一 些 复杂 的 处 理 (路 由 选择 协议 处 理 
等 ) ， 让 分 交换 机 分 头 执行 一 些 简单 的 处 理 (传输 处 理 等 ， 进 而 使 所 有 
的 交换 机 各 司 其 职 、 各 施 其 长 。 


主 交换 机 可 以 根据 几 个 条 件 筛选 出 来 。 不 过 ， 我 们 一 般 需 要 预先 设置 好 优 
先 值 ， 以 保证 能 够 往 移 出 特定 的 交换 机 。 优 先 值 默 认为 1， 最 大 为 15， 拥 
有 最 高 优先 值 的 交换 机 将 当选 为 主 交 换 机 。 在 设置 好 主 交 换 机 的 优先 值 之 
后 ， 我 们 不 妨 进 一 步 设置 好 下 一 讲 将 要 成 为 主 交 换 机 的 候补 对 象 的 优先 
值 ， 这 样 ， 发 生 故 障 的 时 候 就 不 至 于 手 位 脚 乱 了 。 


巾 主 交换 机 记 行 于 由 
半 指 的 进程 


Oatalyst'3750 
( 主 交换 机 } 


Catalyst 3750 : l 
{ 分 交换 机 ) i 传输 ， 交换 宙 号 ; 2 种 先 设置 好 第 三 个 


图 4.1.20” 主 交 换 机 负责 全 局 管控 


天 于 主 交换 机 我 们 还 必须 了 解 一 点 的 主 交换 机 发 
生 故 障 又 恢复 正常 之 后 ， 并 不 会 自 动 下 级 为 主 菇 次 仙 。 如 果 需 要 将 其 次 复 
A 我 们 必须 通过 重 局 当前 的 主 交 换 机 等 操作 以 再 次 执行 筛选 进 


MAC 地 址 


我 们 在 使 用 StackWise 技术 的 时 候 还 需要 注意 MAC 地 址 。 形 成 堆 县 结构 
时 ， 堆 释 的 MAC 地 址 〈 堆 县 MAC 地 址 ) 默认 为 主 交换 机 的 MAC 地 址 ， 

这 在 正常 情况 下 是 没有 问题 。 然 而 主 交 换 机 一 旦 宕 机 ， 问 题 就 随 之 出 现 了 
一 一 在 特定 的 环境 (LACP 和 STP 并 用 的 环境 ) 下 ， 为 了 应 对 宕 机 现象 而 
进行 的 MAC 地 址 切换 处 理会 守 致 通信 中 汤 。 考虑 到 这 种 情况 ， 无 论 是 在 怎 
样 的 环境 下 ， 我 们 都 应 提前 输入 命令 stack-mac persist timer 0。 这 样 ， 即 使 
主 交 换 机 宕 机 ， 它 的 MAC 地 址 也 能 够 在 新 的 主 交换 机 中 继续 使 用 ， 就 不 会 
发 生 不 必要 的 通信 中 断 了 。 


使 用 主 改换 机 的 这 不 设置 让 主 交换 扣 前 办 入 命令 
MAG 地 址 机 的 在 主 交 Stack-me persist timerf 


3750 
( 主 交换 礼 ) 


StackWise 技术 采用 特殊 的 堆 受 线 连接 位 于 各 交换 机 表面 的 堆 受 端口 ， 以 此 
来 实现 智能 堆 县 功能 。 这 里 最 关键 的 地 方 在 于 连接 结构 ， 堆 县 线 必须 设计 
为 环 状 结构 才 行 。 假 设 我 们 要 构成 三 台 交 换 机 的 堆 琶 ， 那 么 就 应 该 设计 成 
如 下 图 所 示 的 环 状 结构 。 


扒 释 线 应 连接 
成 环 状 


Catalyst 3750 
{ 主 交 换 机 ) 


Catalyst 3750 
{ 分 交换 机 ) 


交换 机 的 数量 
越 和 多， 附属 扒 
茹 线 的 长 度 就 Catalyst 3750 
越 不 够 用 { 分 交换 机 ) 


图 4.1.22 堆 释 线 应 连接 成 环 状 


我 们 还 需要 在 物理 层面 管理 好 堆 谷 线 。 交 换 机 的 数量 一 多 ， 附 属 堆 个 线 的 
长 度 就 会 不 够 用 。 所 以 ， 如 有 果 交 换 机 超过 三 台 ， 最 好 事先 束 男 买 几 条 较 长 
的 堆 释 线 备用 。 男 外 ， 还 得 注意 跨 机 架 布 线 的 情况 ， 堆 释 线 因 其 自身 的 特 
性 ， 并 不 适合 跨 机 架 布 线 ， 建 议 尽 量 在 同一 机 架 中 完成 布线 作业 。 


7 FIB (Forwarding Information Base， 转 发 信息 库 ) 表 是 从 路 由 表 中 提取 出 的 表 ， 其 中 仅 包 含 了 传输 数据 
包 所 需 的 信息 。 


VSS 


VSS 是 一 项 可 以 用 于 Catalyst6500 系列 和 Catalyst4500- xX 系列 的 元 余 技术 。 它 用 


条 10G 链 路 连接 两 台 Catalyst6500， 将 它们 集结 成 一 台 逻 辑 交 换 机 。 从 物理 


户 
到 


面 可 来 和 两 人 台 交 换 机 存在 ， 


但 是 从 网 络 的 角度 来 看 就 像 只 一 台 交 换 机 在 工 


作 ， 只 需 进 行 一 种 设置 ， 管 理 对 象 也 只 


EELLELELELLELE LL LLL 
和 


和 和 人 


将 多 台 物 理 交换 机 集结 
以 10Gbit/s 的 速度 连接 ”成 “ 台 逮 辑 交 换 机 


. Catalyst 


人 


看 起 来 就 像 一 台 
交换 机 在 工作 


. 
本 


图 4.1.23 将 两 台 物 理 交换 机 集结 成 一 台 逻 辑 交 换 机 


。 虚拟 域 ID 


FI 一 一 


虚拟 域 ID 是 一 个 在 逻辑 


机 之 间 设 置 相 同 的 域 ID， 


妇 面 上 管理 VSS 对 的 ID 。 在 构建 VSS 的 物理 交换 
就 会 生成 VSS 域 。 虚 拟 域 ID 用 于 PAgP 或 LACP 


的 控制 比特 流 ， 在 网 络 内 部 必须 设计 成 独一无二 的 才 行 。 因 此 ， 连 接 不 同 


VSS 对 的 时 候 要 多 加 注意 ， 


勿 使 域 ID 发 生 冲 突 。 


【人 
© 


域 ID， 100 


Catalyst Catalyst 
6500 6500 


连接 不 同 VSS 对 的 
时 候 应 改换 域 ID， 
各 沈 冲 突 


图 4.1.24 域 ID 在 网 络 内 部 必须 是 独一无二 的 
。VSL 


VSS 元 余 技 术 的 关键 所 在 ， 就 是 连接 两 台 交 换 机 的 VSL (Virtual Switch 
Link， 虚 拟 交换 链 路 ) 。 这 个 连接 一 般 通 过 链 路 聚合 将 10G 链 路 集结 起 来 
完成 的 。 构 建 VSS 需要 交换 特定 的 控制 信息 和 同步 信息 ，VSL 不 仅 肩 负 着 
和 
性 不 言 而 喻 。 


这 部 分 的 要 点 在 于 如 何 配置 构 成 链 路 聚合 的 物理 链 路 。 我 们 应 将 一 条 链 路 
另 一 条 链 路 用 在 其 他 线 卡 上 ， 以 此 来 应 对 线 卡 发 生 故 障 
， 情 ; Oo 


Catalyst 6500 


各 自 使 用 未 局 的 模块 
生成 链 路 涩 会 


图 4.1.25 ”注意 物理 链 路 的 配置 
。 传输 处 理由 活动 交换 机 和 备用 交换 机 共同 完成 


So 又 能 增强 
前 能 力 。 


路 由 协议 控制 和 管理 控制 等 由 软件 完成 的 、 比 较 复杂 的 处 理 是 由 活动 交换 
机 和 备用 交换 机 共同 完成 的 。 一 般 情 况 下 由 活动 交换 机 执行 处 理 并 将 数据 
同步 到 备用 交换 机 中 去 。 活 动 交 换 机 一 旦 发 生 故 障 ， 备 用 交换 机 就 会 升级 
为 活动 交换 机 ， 迅 速 完成 接 苦 ， 保 证 几 余 效果 。 


而 像 传输 比特 流 等 在 硬件 上 进行 的 简单 处 理 则 是 由 两 台 活动 交换 机 完成 
的 。 两 侣 物理 交换 机 3 0 以 此 来 保证 最 大 的 传输 能 力 。 当 
其 中 一 人 台 物 理 交换 机 宕 机 时 ， 男 一 台 物 理 交 换 机 就 会 立刻 接手 继续 处 理 任 


务 。 
Catalyst 6500 ( 活动 状态 ) Catalyst 6500 { 热 奋 状态 ) 

软件 处 理 

软件 处 理 的 内 容 出 活动 
IE 实 换 宙 和 备用 交换 机 区 

再 完成 

硬件 处 理 

(活动 状态 } 

硬件 处 理 的 内 容 由 两 合 
话 动 交换 机 共同 完成 


图 4.1.26 ”确保 元 余 备 份 和 传输 扩展 
MAC 地 址 
对 任何 宛 余 结构 ， 我 们 都 需要 考虑 到 MAC 地 址 这 个 细节 。VSS 默认 使 用 各 


台 物 理 交 换 机 自身 的 MAC 地址 ， 因 此 ， 假 如 我 们 重启 两 台 物 理 交 换 机 使 活 

动 交 换 机 发 生 了 切换 和 交接 等 状态 的 改变 ， 那 么 ， 只 要 相 邻 设备 的 ARP 切 

换 尚 未 结束 ， 通 信 就 会 一 直 处 于 中 断 状 态 ， 这 可 是 足以 致命 的 大 问题 。 为 

了 避免 出 现 这 样 的 局 面 ， 我 们 在 构建 VSS 的 时 候 ， 应 将 默认 设置 改 为 便 用 

虚拟 MAC 地 址 。 这 样 ，VSS 的 卫 地 址 和 MAC 地 址 就 能 保持 不 变 ， 就 不 

a 
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注意 链 路 素 合 的 配置 
将 多 台 物 理 设备 集结 成 一 台 逮 辑 设 备 这 种 类 型 的 元 余 技 术 大 多 是 和 链 路 聚合 一 


起 设计 的 。 这 时 候 有 一 点 我 们 必须 注意 ， 那 就 是 构成 链 路 聚合 的 物理 链 路 的 配 
置 问题 。 一 定 要 从 不 同 的 物理 交换 机 获取 链 路 才 行 。 以 VSS 结构 为 例 ， 在 同一 


a 


台 物 理 交 换 机 上 获取 所 有 物理 链 路 是 毫 无 意义 的 ， 因 为 一 旦 该 物理 交换 机 宕 
机 ， 通 信和 就 会 断 掉 。 因 此 ， 务 必要 从 不 同 的 物理 交换 机 获取 链 路 ， 以 应 对 物理 
交换 机 发 生 故 障 的 情况 。 

对 于 类 似 Catalyst6500 系列 的 机 箱 式 交换 机 ， 我 们 还 必须 注意 同一 台 物 理 交换 机 
内 的 物理 链 路 配置 问题 。 如 采 同 一 个 线 卡 占用 了 所 有 的 物理 链 路 ， 那 么 一 旦 该 
线路 卡 出 问题 通信 就 会 断 掉 。 因 此 ， 我 们 务必 让 每 一 个 线路 卡 各 自 取 用 一 条 物 
理 链 路 ， 以 备 线路 卡 发 生 故 障 的 不 时 之 需 。 
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;| 务必 分 别 使 用 不 同 的 
模 访 建 立 链 践 聚合 


务必 分 别 使 用 不 同 的 牺 理 
Te 交换 机 建立 链 路 聚合 
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图 4.1.27 注意 物理 链 路 的 配置 问题 
StackWise 技术 和 VSS 的 优点 


StackWise 技术 和 VSS 之 所 以 会 成 为 高 可 用 性 设计 的 主角 ， 是 因为 它们 除了 元 余 
备份 之 外 还 具有 别 的 优点 。 以 往 高 可 用 性 设计 的 主角 是 STP (Spanning-Tree 
Protocol， 生 成 树 协议 ) 8 ， 然 而 STP 在 实现 元 余 备份 的 同时 还 不 得 不 面临 一 些 
进退 两 难 的 寄 境 ， 因 此 长 期 以 来 一 直 令 工程 师 们 难于 取舍 。StackWise 技术 和 
VSS 则 能 够 一 举 解 决 这 些 进退 两 难 的 问题 ， 如 今 ， 它 们 早已 成 为 了 网 络 技 术 中 
不 可 或 缺 的 存在 。 


| 8 关于 STP 的 内 容 将 在 4.1.2 节 中 详细 讲解 。 


本 书 将 会 介绍 它们 所 具有 的 “增强 传输 能 力 ”简化 结构 > 和 "便于 运行 管理 "这 三 个 
优 操 ， 并 和 使 用 STP 时 的 情况 分 别 进行 比较 ， 赖 优 玫 败 ， 一 目 了 然 。 


增强 传输 能 力 

STP 是 一 种 协议 ， 它 阻塞 形成 环 回 拓 扑 的 茶 处 端口 ， 并 按照 逻辑 树 状 结构 
去 构造 网 络 拓扑 。 由 于 它 会 阻塞 某 处 端口 导致 数据 无 法 传输 ， 因 而 不 能 百 
分 之 百 地 发 挥 交 换 机 原本 具备 的 传输 能 力 。 与 此 相对 ， 采 用 StackWise 技术 
或 VSS 的 网 络 结构 中 根本 就 没有 阻塞 端口 存在 ， 所 有 端口 都 能 用 到 。 
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图 4.1.28 ”物理 链 路 全 部 都 能 用 上 
简化 结构 


STP 对 交换 机 的 连接 是 呈 环 状 的 ， 随 着 网 络 规模 的 扩大 ， 结 构 会 变 得 越 来 
越 复 杂 。 而 且 我 们 还 得 注意 阻塞 端口 位 于 何 处 ， 这 越发 使 得 结构 难于 理 
清 。 与 此 相对 ， 采 用 StackWise 技术 或 VSS 时 ， 由 于 多 人 台 物 理 交 换 机 集结 
成 一 台 逻 辑 交 换 机 ， 从 逻辑 上 来 说 我 们 只 需 连 接 一 台 交 换 机 即 可 ， 这 能 够 
大 大 地 简化 结构 。 
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:| 从 高 辑 上 看， 起 析 
:其间 明了 
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图 4.1.29 ”结构 简单 明了 
。 便于 运行 管理 


对 网 络 管理 人 员 来 说 ， 管 理 对 象 的 增加 仅仅 意味 着 更 加 繁重 的 工作 负荷 。 
如 果 我 们 采用 STP， 那 么 各 台 交 换 机 都 是 独立 工作 的 ， 有 多 少 台 交换 机 就 
会 有 多 少 个 管理 对 象 。 例 如 ， 新 增 四 台 物 理 交 换 机 就 等 于 新 增 了 四 个 管理 
对 象 。 与 此 相对 ， 采 用 StackWise 技术 或 VSS 时 ， 我 们 只 有 堆 释 组 或 VSS 
域 这 一 个 管理 对 象 。 即 使 新 增 四 台 物 理 交 换 机 并 将 它们 堆 释 起 来 ， 从 逻辑 
上 说 仍然 只 有 一 台 交 换 机 ， 所 以 只 是 新 增 一 个 管理 对 象 而 已 。 和 采用 STP 
的 情况 相 比 ， 运 行 管理 要 轻松 很 多 。 
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4.1.1.4” 当 上 行 链 路 中 断 时 ， 让 下 行 链 路 也 随 之 中 断 


下 面 介 绍 一 项 性 质 比较 特殊 的 物理 层 元 余 技术 ， 它 叫 作 链 路 聚合 故障 转移 ， 有 
些 生产 商 称 之 为 链 路 状态 追踪 或 者 UFD (Uplink Failure Detection， 上 行 链 路 故 
障 检测 ) ， 实 际 上 都 是 同一 个 意思 。 链 路 聚合 故障 转移 是 指 当 上 行 链 路 (针对 
上 层 交 换 机 的 链 路 ) 中 断 时 ， 让 下 行 链 路 (针对 服务 器 的 链 路 ) 也 随 之 中 断 。 


网 卡 组 合并 不 是 万 能 的 


正 是 因为 大 量 的 设备 彼此 融合 、 共 同 存在 ， 网 络 的 世界 才 得 以 成 立 。 因 此 ， 我 
们 设计 时 应 始终 参考 相 邻 设备 之 间 的 连接 结构 。 在 仅 靠 网 卡 组 合 无 法 排除 故障 
的 特定 环境 中 ， 链 路 聚合 故障 转移 能 够 发 挥 巨大 的 作用 。 


我 们 来 考虑 一 下 图 4.1.31 所 示 的 入 况 。 这 庶 该 是 一 种 非 秆 种 见 鸭 约 。 在 这 各 
当 交 换 机 的 上 行 链 路 中 断 时 ， 通 往 上 层 的 路 径 消 失 ， 导 致 通信 无 法 进 

。 这 里 的 网 卡 虽 然 绑 定 成 了 网 卡 组 合 的 形式 ， 但 由 于 上 行 甸 路 的 中 断 和 服务 
器 并 没有 直接 的 关系 因而 无 法 进行 故障 转移 ， 服 务 器 仍然 会 试图 通过 同一 个 
物理 网 卡 发 送信 息 。 
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图 4.1.31 网 卡 组 合 无 法 检测 到 故障 已 发 生 
利用 链 路 聚合 的 故障 转移 激发 网 卡 组 合 的 故障 转移 
想 解 决 上 述 问 题 ， 就 要 利用 链 路 聚合 故障 转移 技术 。 链 路 聚合 故障 转移 能 够 监 


探 上 行 链 路 的 物理 链 路 状态 并 根据 该 状态 控制 下 行 链 路 。 它 的 工作 机 制 非常 帘 
单 ， 那 束 是 一 旦 发 现 上 行 链 路 中 断 ， 就 让 下 行 链 路 也 随 之 中 断 。 


那么 ， 我 们 就 来 看 看 将 链 路 聚合 故障 转移 用 在 前 面 提 到 过 的 结构 中 会 怎么 样 。 
中 断 ， 链 路 聚合 故障 转移 功能 就 会 启动 ， 强 制 性 地 关闭 下 行 链 路 。 
志和 是 整 条 链 路 中 断 ， 网 卡 组 合 局 动 故 障 转移 机 制 ， 最 终 确 保 了 通 往 上 层 的 路 
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图 4.1.32 ”利用 链 路 聚合 故障 转移 强行 确保 通 往 上 层 的 路 径 


4.1.2 ”数据 链 路 层 的 元 余 技 术 


关于 数据 链 路 层 的 元 余 技术 ， 我 们 只 需 掌握 STP (Spanning-Tree Protocol， 生 成 
树 协 议 ) 就 足够 了 。 事 实 上 ， 作 为 一 项 元 余 技 术 ，STP 早已 是 明日 黄花 、 
日 下 ， 不 过 它 毕 竟 在 过 去 的 很 长 一 段 时 期 内 都 是 网 络 高 可 用 性 的 技术 后 盾 ， 

后 很 可 能 还 会 继续 存在 下 去 ， 我 们 了 解 一 下 总 归 是 有 利 无 浆 的 。 


4.1.2.1 STP 的 关键 在 于 根 网 桥 和 阻塞 端口 


STP 是 一 种 协议 ， 它 阻塞 形成 环 回 拓扑 的 某 处 端口 ， 并 按照 逻辑 树 状 结构 去 构 
造 网 络 拓扑 ， 用 于 链 路 宛 余 和 防止 桥接 组 。 这 里 我 们 要 理解 一 个 叫 作 BPDU 

(Bridge Protocol Data Unit， 网 桥 协议 数据 单元 ) 的 概念 ，BPDU 是 相 邻 交换 机 
之 间 传 递 的 一 种 特殊 管理 帧 ， 用 于 在 网 桥 之 间 进 行 信息 交换 。STP 通过 BPDU 
选择 根 网 桥 和 阻塞 端口 ， 而 STP 的 关键 就 在 于 根 网 桥 和 阻塞 端口 。 


protocol identifier: Spanning Trae Protocol (0x0000) 
Prorocol Version 1dentifier: Spanning Tree (0) 

BPDU Type: Configuration (0x00) 

S SPOU flags: Ox00 

Qs .三 gt i Ackrnowledgment: NO 


9 Root Identifier; Ty 1 /00:22:56:b1:02:00 
Root Sridge Priorty: 32758 
Root Bndge System ID Extension: 1 
Root Bridge ed ID: Cisco_bl:02;00 (00:;22:;56:b1:02:;00) 


9 Bndge Tdentifier 32768 f 1/ 00:22:56:b1:;02:00 
Bridge Priority: 32768 


Bridge System ID Extaension: 1 
Bridge System 1D: Cisco. b1:02:00 (00:;22:56:b1:02:00) 


Forward Delay: 15 


图 4.1.34 通过 交换 BPDU 来 选择 根 网 桥 和 阻塞 端口 
根 网 桥 取 决 于 网 桥 优 先 级 
根 网 桥 是 指 由 STP 形成 的 、 相 当 于 逻辑 树 状 结构 根部 (root) 部 分 的 交换 机 。 离 


开 了 根 网 桥 ，STP 就 无 从 谈 起 。 根 网 桥 是 根据 网 桥 ID 选择 出 来 的 ， 而 网 桥 ID 
则 是 由 网 桥 优先 级 和 MAC 地 址 组 成 的 。 


ii 
16 位 48 位 


图 4.1.35 ”根据 网 桥 ID 选 出 根 网 桥 


STP 处 于 激活 状态 的 交换 机 一 经 连接 ， 就 会 交换 BPDU 并 比较 网 桥 ID。 比 较 并 
2 
百 先是 比较 网 桥 优先 级 ， 网 桥 优先 级 最 低 的 交换 机 将 当选 为 根 网 桥 ， 第 二 低 的 
交换 机 则 当选 为 第 二 根 网 桥 。 当 根 网 桥 发 生 故 障 时 ， 第 二 很 网 标 就 会 硕 葵 上 去 
成 为 新 的 根 网 桥 ， 因 此 第 二 根 网 桥 相 当 于 是 一 道 为 根 网 桥 上 的 保险 。 如 果 网 桥 
站 那么 就 得 比较 MAC 地 址 了 ，MAC 地 址 最 小 的 交换 机 将 当选 为 


在 真实 的 网 络 环境 中 ， 人 们 通常 将 网 桥 优先 级 设置 成 静态 的 ， 根 据 网 桥 优 先 级 
去 选择 根 网 桥 ， 而 不 让 MAC 地 址 起 决定 性 的 作用 。 因 此 ， 对 于 根 网 桥 和 第 二 根 
网 桥 ， 我 们 应 将 它们 的 网 桥 优 先 级 设置 得 比 其 他 网 桥 低 才 行 。 
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优先 级 32768 
MAC: CCC 


图 4.1.36 根 网 桥 取 决 于 网 桥 优先 级 

阻塞 端口 取决 于 路 径 开销 

阻塞 端口 是 端口 的 一 种 ， 其 重要 作用 是 让 环 辐 结构 成 为 树 状 结构 。 和 根 网 桥 在 
逻辑 上 相距 最 远 的 端口 就 是 阻塞 端口 。 计 算 端口 和 根 网 桥 之 间 的 距离 时 要 用 到 
一 个 叫 作 路 径 开销 的 值 ， 这 个 值 是 有 具体 规定 的 ， 不 同 的 链 路 带宽 有 着 不 同 的 
路 径 开 销 值 ， 具 体 情 况 如 下 表 所 示 。 


表 4.1.1 路 径 开销 的 值 取决 于 带宽 


带宽 路 径 开销 


10Mbit/s 


100Mbit/s 


1000Mbit/s (1Gbit/s) 


10Gbit/s 2 


我 们 根据 BPDU 中 包含 的 路 径 开 销 算 出 各 个 端口 到 根 网 桥 的 距离 ， 然 后 进行 比 
较 ， 数 值 最 大 的 那个 端口 将 成 为 阻塞 端口 。 如 果 到 根 网 桥 的 距离 都 相同 ， 那 下 
要 比较 网 桥 ID 了 ， 网 桥 ID 最 大 的 端口 将 成 为 阻塞 端口 。 正 常情 况 下 阻塞 端口 
并 不 传输 数据 ， 它 是 被 完全 排除 在 拓扑 范围 之 外 的 。 


a | 根据 如 径 开销 计算 如 已 到 
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路 径 开 销 ， 4 


图 4.1.37 决定 阻塞 端口 
。 固定 逻辑 链 路 的 路 径 开 销 


通过 链 路 聚合 连接 交换 机 的 时 候 ， 我 们 应 注意 逻辑 链 路 的 路 径 开销 。 按 照 
默认 的 设置 ， 构 成 逻辑 链 路 的 物理 链 路 一 旦 中 断路 径 开销 就 会 改变 ， 于 是 
0 00 


图 4.1.38 ”按照 默认 的 设置 ， 物 理 链 路 一 旦 中 断路 径 开 销 就 会 改变 


为 了 避免 多 余 的 重新 计算 ， 逻 辑 链 路 的 路 径 开 销 对 逃 辑 链 路 应 设置 成 静态 
的 才 行 。 比 方 说 ， 如 果 使 用 的 是 Catalyst 交换 机 ， 通 过 设置 链 路 聚合 会 产生 
一 个 叫 作 Port-Channel 接口 的 逻辑 端口 ， 我 们 应 该 在 该 逻辑 端口 中 设置 路 径 
开销 。 这 虽然 只 是 一 个 细 世 问题， 但 却 非常 重要 。 


“即使 物理 链 路 中 断 ， 
路 径 开销 也 不 会 改变 


根 网 桥 路 径 开 销 : 3 


图 4.1.39 ”对 逻辑 链 路 设置 路 径 开销 
以 VLAN 为 单位 进行 负载 均衡 


BPDU 是 以 VLAN 为 单位 生成 的 管理 帧 ， 因 此 ， 根 网 桥 和 阻塞 端口 也 是 以 
| 。STP 在 通信 的 处 理 和 和 珊 宽 的 负载 均衡 中 很 好 地 利用 了 这 
设计 。 


。 通信 处 理 的 负载 均衡 


在 拥有 众多 VLAN 的 环境 中 ， 如 果 我 们 把 所 有 的 根 网 桥 都 汇集 到 一 台 交 换 
机 上 ， 是 绝对 无 法 进行 高 效 处 理 的 。 根 网 桥 掌 握 着 STP 的 一 切 ， 可 以 说 是 
首领 一 样 的 交换 机 。 把 所 有 VLAN 中 的 STP 处 理 都 交 给 一 台 根 网 桥 交 换 机 
的 话 ， 处 理 人 负 奏 会 过 于 集中 。 所 以 ， 我 们 务必 为 每 个 VLAN 都 选择 不 同 的 
根 网 桥 ， 尽 量 让 负载 得 到 均衡 的 分 配 。 


为 每 个 VLAN 
都 选择 不 同 的 
根 网 桥 


Catalyst 
2960 


VLAN1 VLAN2 
优先 级 ，32768 “优先 级 ”32768 


图 4.1.40 为 每 个 VLAN 都 选择 不 同 的 根 网 桥 ， 让 负载 得 到 均衡 的 分 配 
带宽 的 负载 均衡 


前 面 已 经 讲 过 ， 根 网 桥 也 决定 着 阻塞 端口 。 因 此 ， 如 有 果 将 所 有 的 根 网 桥 都 
集中 到 一 台 交 换 机 上 ， 那 么 所 有 VLAN 的 阻塞 端口 就 会 落 到 同一 处 ， 这 会 
使 通信 流量 过 于 集中 在 茶 条 特定 的 链 路 上 上。 因此， 我 们 必须 为 每 个 VLAN 
都 选择 不 同 的 根 网 桥 和 阻塞 端口 。 改 变 根 网 桥 能 让 VLAN 的 通信 流量 走 另 
外 的 链 路 ， 最 终 达 到 带宽 负载 均衡 分 配 的 效果 。 


图 4.1.41 为 每 个 VLAN 都 选择 不 同 的 路 径 ， 让 带宽 负载 得 到 均衡 的 分 配 


应 将 阻塞 端口 安排 到 这 里 ! 


通过 STP 实现 链 路 见 余 时 ， 其 标准 的 物理 结构 以 及 相应 的 设计 基本 上 是 约定 俗 
成 的 。 标 准 的 物理 结构 有 三 角形 结构 和 四 方形 结构 两 种 ， 下 面 就 详细 讲解 在 这 
两 种 结构 中 ， 分 别 需要 将 阻塞 端口 安排 到 何 处 。 


。 三 角形 结构 
三 角形 结构 是 由 根 网 桥 、 第 二 根 网 桥 和 非 根 网 桥 构 成 的 ， 呈 三 角 状 ,是 最 
容易 理解 也 最 为 常见 的 一 种 结构 。 在 这 种 结构 中 ， 非 根 网 桥 连接 第 二 根 网 
桥 的 问 口 会 被 阻塞 。 
在 三 角形 结构 中 ， 所 有 交换 机 的 根 路 径 开销 (到 根 网 桥 的 路 径 开销 合计 
值 ) 都 是 一 样 的 。 因 此 ， 只 要 通过 网 桥 优 先 级 选 出 根 网 桥 和 第 二 根 网 桥 ， 
我 们 的 目标 端口 就 会 被 自动 阻塞 。 这 里 的 关键 在 于 根 网 桥 和 第 二 根 网 桥 的 


位 置 


E 本 通过 网 桥 优 先 级 选 出 根 
(人 全 》 网 桥 和 第 二 根 网 桥 
名 区 级 :0 优先 级 ，4096 要 


根 路 径 开 销 : 三 根 路 径 开 销 : 4 


Catalyst Catalyst 
3750 3750 


对 于 根 网 桥 的 路 径 开销 
口 会 被 自动 阻塞 
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优先 级 : 32768 
根 路 径 开 销 : 4 


图 4.1.42 在 三 角形 结构 中 只 需 决 定 根 网 桥 和 第 二 根 网 桥 即 可 
四 方形 结构 
四 方形 结构 是 由 根 网 桥 、 第 二 根 网 桥 和 两 台 非 根 网 桥 构成 的 ， 呈 四 方形 ， 


极为 少见 。 在 这 种 结构 中 ， 连 接 不 同 非 根 网 桥 的 设备 之 间 的 通信 并 不 经 过 
0 
J 六 口 o 


在 四 方形 结构 中 ， 根 网 桥 和 位 于 根 网 桥 对 角 处 的 交换 机 之 间 的 路 径 有 两 

条 ， 它 们 的 根 路 径 开销 是 一 样 的 。 为 了 让 连接 第 二 根 网 桥 的 端口 成 为 阻塞 
端口 ， 我 们 必须 对 路 径 开销 进行 操作 。 具 体 方法 如 下 : 在 经 过 第 二 根 网 桥 
的 路 径 某 处 加 上 路 径 开销 ， 或 者 是 在 经 过 并 排 非 根 网 桥 的 路 径 某 处 减 去 路 
径 开 销 。 在 四 方形 结构 中 ， 我 们 不 仅 要 注意 根 网 桥 和 第 二 根 网 桥 的 位 置 ， 
还 必须 考虑 路 径 开 销 。 


优先 级 : 0 ” ”优先 级 ，4096 i 
根 路 人 径 开销 ， 一 ” 国 j 路 径 弄 诡 】 。 根 路 径 开销 : 4 


进行 操作 
Catalyst 
3750 


Catalyst 
3750 
阻塞 距离 较 远 
的 那个 端口 


下 
| 根 路 径 开销 
Catalyst 4+8=12 
2960 
4 
优先 级 : 32768 优先 级 ，32768 © 
根 跑 径 开销 :4 根 跑 径 开 和 销 : 8 
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图 4.1.43 ”在 四 方形 结构 中 要 对 路 径 开销 进行 操作 


4.1.2.2 STP 有 三 种 


STP 有 三 种 ， 分 别 是 PVST (Per VLAN Spanning-Tree， 每 VLAN 生成 树 ) 、 
RSTP (Rapid Spanning-Tree， 快 速生 成 树 协议 ) 和 MST (Multiple Spanning- 
Tree， 多 生成 树 ) 。 其 中 ，PVST 是 最 造 出 现 的 ， 后 来 为 了 填补 PVST 的 缺陷 又 
相继 出 现 了 RSTP 和 MST 。 它 们 的 工作 机 制 各 不 相同 ， 但 设计 重点 都 在 于 收敛 
时 间 。 收 敛 时 间 是 指 端口 状态 从 切换 之 后 到 稳定 下 来 所 需 的 时 间 。 


表 4.1.2 STP 分 PVST、RSTP 和 MST 三 种 


规格 思科 公司 独 有 


收敛 时 间 


STP 的 种 类 


BPDU 的 单位 


根 网 桥 的 单 人 


阻塞 端口 的 单 人 


负载 均衡 的 单 人 


人 们 一 般 使 用 PVST 


PVST 是 STP 中 最 常用 的 一 种 ， 其 基本 原理 在 前 面 已 经 介绍 过 了 。 各 交换 机 先 
征 交 换 BPDU 并 远 出 根 网 桥 ， 然 后 再 选 出 阻塞 端口 ， 等 这 些 处 理 痢 稳定 下 来 之 
后 就 通过 互相 发 送 BPDU 定期 监控 彼此 的 状态 ， 如 采 有 一 方 在 一 定时 间 之 内 没 
有 收 到 BPDU， 或 是 收 到 了 来 自 根 网 桥 的 、 表 示 拓 扑 变 更 的 BPDU (TCN 
J ， 系 统 就 会 认为 发 生 了 故障 ， 并 执行 几 道 重新 计算 之 后 将 阻塞 端口 释 
万 o 

作为 一 种 协议 ，PVST 曾经 是 初期 STP 环境 的 坚强 后 盾 。 然 而 它 有 一 个 足以 臻 
命 的 缺点 ， 那 就 是 收敛 时 间 太 长 。PVST 基于 “Hello 定时 器 ”(2 秒 ) 、“ 最 大 失 
效 定时 器 ”(20 秒 ) 和 “转发 延迟 定时 器 ”(15 秒 ) 这 三 个 定时 器 执行 收敛 处 理 ， 
它们 都 会 直接 影响 收敛 时 间 的 长 短 。 


和 党 听 浇 访 


了 
监听 相 肆 设备 的 
状态 并 进行 STP 
计算 。 超过 转发 
十 述 时 人 间 
后 会 进入 挝 行 状 


尚 无 法 转发 


即使 已 经 超过 最 
大 失效 时 间 120 
秒 )， 有 要 没有 
收 到 BPDU 就 会 


登 习 相 邹 设备 的 
状态 并 生成 MAC 
地 址 胡 。 趟 过 转 
发 延迟 时 间 [ 15 
秒 ] 后 会 转 入 进 


进入 监听 状态 
态 。 发 状态 。 尚 无 法 
数据 转发 数据 


图 4.1.44 PVST 基于 定时 器 执行 收敛 处 理 


如 果 处 理 必 须 按 照 一 定 的 顺序 执行 ， 前 一 个 处 理 结束 之 后 才能 进入 下 一 个 处 
理 ， 那 么 收敛 时 间 肯 定 是 会 比较 长 的 。PVST 的 所 有 端口 都 是 按照 阻塞 、 监 听 、 
运行 、 转 发 这 个 顺序 进行 计算 的 ， 到 释放 阻塞 端口 为 止 ， 需要 50 秒 钟 的 时 间 


(20 秒 十 15 秒 x2) ， 而 50 秒 对 于 关键 任务 环境 来 说 太 长 了 ，RSTP 和 MST 就 
是 为 了 弥补 这 个 缺点 而 出 现 的 。 


RSTP 能 够 快速 完成 收敛 工作 
RSTP 是 为 了 弥补 PVST 收敛 时 间 较 长 这 个 缺点 而 出 现 的 ， 它 由 IEEE802.1w 定 


义 。RSTP 通过 发 送 BPDU 执行 两 个 分 别 叫 作 提案 和 同意 的 握手 处 理 ， 由 此 迅速 
掌握 对 方 的 状态 。 


优先 级 .0 优先 级 ，4096 i 


根 路 径 开销 ; = 根 路 径 开 销 ; 4 
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优先 级 ，32768 
根 路 径 开销 ; 4 


立即 掌握 对 方 


的 状态 


图 4.1.45 ”通过 提案 和 同意 处 理 来 掌握 对 方 的 状态 


经 过 改良 ，RSTP 处 理 故 障 的 速度 也 比 PVST 提高 了 很 多 。 如 果 是 拥有 阻塞 端口 
的 交换 机 发 生 了 直接 性 的 链 路 故障 ，RSTP 会 立即 释放 阻塞 端口 。 如 果 是 没有 阻 
塞 端口 的 交换 机 发 生 了 链 路 故障 ， 则 由 发 生 故 障 的 交换 机 对 经 过 TC (Topology 
Change， 拓 > 扑 变 更 ) 置 位 的 BPDU 进行 泛 洪 处 理 ， 向 整个 网 络 通知 拓扑 结构 的 
变化 。 接 下 来 ， 通 过 提案 和 同意 再 次 执行 握手 处 理 ， 然 后 立即 释放 阻塞 端口 。 
RSTP 不 像 PVST 那样 基于 定好 的 定时 器 顺序 去 逐一 处 理 ， 所 以 不 必 等 前 一 个 的 
处 理 结束 之 后 才 开 始 下 一 个 。 它 是 受 事件 触发 而 启动 的 ， 仅 需 短 短 一 秒 钟 的 时 
间 便 能 完成 收敛 工作 。 除 非 是 极度 敏感 的 应 用 程序 ， 否 则 都 不 会 觉察 觉 到 有 过 
这 样 一 瞬 而 过 的 通信 中 断 。 
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图 4.1.46 ”RSTP 能 够 迅速 进行 切换 
MST 能 够 同时 兼顾 快速 和 高 效 


MST 和 RSTP 一 样 ， 也 是 为 了 弥补 PVST 收敛 时 间 较 长 这 个 缺点 而 出 现 的 一 种 
协议 。 它 由 IEEE802.1s 定义 ， 基 本 机 制 也 和 RSTP 一 样 ， 通 过 提案 和 同意 去 掌 
握 对 方 的 状态 ， 受 事件 触发 而 启动 ， 目 的 是 缩短 收敛 时 间 。 不 过 相 比 RSTP， 
MST 还 多 出 了 一 个 新 的 概念 ， 那 就 是 用 来 提高 处 理 效 率 的 “实例 ”。 粗 略 地 讲 ， 
实例 就 是 由 多 个 VLAN 构成 的 群 组 。PVST 和 RSTP 都 是 以 VLAN 为 单位 运作 
的 协议 ， 因 此 ， 当 环境 中 有 大 量 VLAN 存在 时 我 们 就 需要 一 个 个 地 去 处 理 和 管 
理 。 而 MST 是 在 每 个 MST 区 域 ? 中 生成 BPDU 并 以 实例 为 单位 运作 ， 这 样 ， 
我 们 就 能 以 实例 为 单位 去 执行 处 理 和 管理 了 ， 不 光 处 理 本 身 ， 整 个 运行 管理 的 
效率 都 能 获得 提高 。 


| 9 MST 区 域 是 指 拥有 相同 的 MST 设置 且 彼 此 连接 的 交换 机 的 群集 。 


BPDU 


实例 中 实例 加 
BPDU BPDU 


图 4.1.47 MST 以 实例 为 单位 进行 处 理 
4.1.2.3 ”同时 启用 多 项 可 选 功能 


STP 并 不 是 单枪匹马 发 挥 作用 的 ， 有 很 多 备 选 功能 可 供 使 用 ， 我 们 应 根据 实际 
的 网 络 环境 选择 合适 的 可 选 功能 。 下 面 就 介绍 一 下 最 近 在 网 络 环境 中 非常 常见 
的 PortFast 和 BPDU 守护 这 两 种 可 选 功能 。 


PortFast 功能 


将 STP 激活 之 后 ， 所 有 的 端口 都 会 按照 阻塞 、 监 听 、 运行 、 转 发 这 个 顺序 去 进 
行 计算 。 这 些 计算 结束 之 后 比特 流 才能 被 转发 出 去 ， 大 约 需 要 50 秒 钟 的 等 待 时 
间 。 然 而 ， 对 于 连接 服务 器 和 PC 的 端口 这 种 发 生 环 回 的 可 能 性 非常 低 的 端口 来 
说 ， 这 些 计算 是 毫 无 必要 的 。 于 是 人 们 为 STP 开发 出 了 PortFast 功能 ， 它 能 让 


端口 连接 成 功 之 后 马上 就 进入 转发 状态 。 只 要 我 们 激活 PortFast 功能 ， 端 口 就 能 
迅速 进入 转发 状态 ， 因 此 连接 一 成 功 就 可 以 马上 转发 比特 流 了 。 


图 4.1.48 ”对 于 连接 终端 和 服务 器 的 端口 应 激活 它们 的 PortFast 功能 


有 些 服务 器 的 使 用 手册 中 可 能 写 有 “请 勿 激活 STP 功能 "这样 的 字句 ， 但 却 没有 
给 出 详细 的 解释 。 明 明 是 需要 通过 STP 去 实现 高 可 用 性 的 环境 ， 却 又 不 允许 激 
活 STP 功能 ， 这 是 不 可 能 的 。 如 果 看 到 这 样 的 使 用 手册 ， 我 们 可 以 认为 这 有 是 在 
要 求 我 们 在 连接 的 端口 中 设置 PortFast 功能 。 


BPDU 守护 功能 


BPDU 守护 是 指 设 定 了 PortFast 功能 的 端口 一 旦 收 到 BPDU 就 会 强制 关闭 该 站 
口 的 功能 。 前 面 已 经 提 人 到 过 ，PortFast 功能 是 针对 那些 不 太 可 能 发 生 环 回 的 、 连 
接 PC 和 服务 器 的 端口 而 设置 的 。 然 而 ， 事 实 上 我 们 谁 也 无 法 保证 环 回 一 定 不 会 
发 生 。 例 如 ， 我 们 在 运行 管理 中 偶尔 会 听 到 这 样 的 事 : 用 户 将 原本 用 于 连接 PC 
的 端口 擅自 接 到 了 集线器 上 ， 结 果 导 致 了 环 回 的 发 生 。 为 了 避免 出 现 这 种 情 

况 ， 我 们 应 开局 BPDU 守护 功能 。 


Catalyst 


nossasnbeseees 人) we 


| S 二 
: BPDU 
0 守护 


就 会 被 强制 关闭 


BPDU 


Catalyst 
2960 


图 4.1.49 ”端口 收 到 BPDU 时 就 会 被 强制 关闭 
4.1.2.4 利用 BPDU 切断 桥接 环 路 


如 今 ，STP II 但 这 并 不 意味 着 它 即将 销声匿迹 ， 
为 它 有 一 个 看 家 本 领 ， 那 就 是 能 够 避免 桥接 环 路 的 产生 。 今 后 ，STP 很 可 能 
凭借 这 一 特色 继续 存在 下 去 。 


桥接 环 路 是 足以 致命 的 


首先 ， 桥接 环 路 是 一 种 以 太 网 帧 在 路 径 上 环 回 不 

止 的 现象 ， 它 是 由 物理 层面 和 光 辑 层面 的 环 回 结构 造成 的 。 交 换 机 会 对 广播 进 

、 “于 是 当 有 环 路 存在 的 时 候 ， 广 播 被 转发 出 去 之 后 遇 到 泛 洪 处 
， 就 会 被 无 休止 地 重复 转发 ， 最 终 时 致 通信 中 断 -。 


从 名 


蝶 对 非 接收 端 所 的 消 吾 多 对 非 接收 端 互 的 问 日 
进行 泛 洪 处 理 进行 泛 潜 处 理 


Ea Ei 


L2 交换 机 非 管理 对 象 的 L2 交换 机 


图 4.1.50 ”广播 环 回 不 止 


以 前 ， 笔 者 负责 的 某 位 客户 曾经 捅 过 这 样 一 个 娄 子 一 一 他 对 一 个 来 路 不 明 的 集 
线 器 做 了 环 回 连 接 ， 结 果 导 致 桥接 环 路 的 产生 ， 出 了 事故 。 用 他 的 描述 就 是 “ 集 
线 器 机 房 打 雷 了 ”， 这 人 句 话 给 我 留 下 了 深刻 的 印象 ， 人 简直 就 是 我 心目 中 不 可 磨 炎 
的 名 言 。 想 来 "打雷 "应 该 是 所 有 交换 机 端口 的 LED 灯 一 起 内 区 了 的 缘故 ， 那 还 
真是 “ 电 闪 雷鸣 ”的 场面 啊 。 当 时 ， 由 于 整 栋 楼 的 核心 交换 机 起 着 核心 路 由 选择 
的 作用 ， 整 栋 楼 的 7000 个 端口 同时 断 控 ， 通 信和 在 皮 眼 之 间 就 全面 陷入 了 瘫痪 ， 
实在 是 太 可 怕 了 ..…... 所 以 ， 我 们 绝 不 能 让 桥接 环 路 发 生 。 尤 其 是 近年 ， 考 虑 到 
运行 管理 的 便利 性 ， 人 们 往往 会 采用 “利用 核心 路 由 选择 将 VLAN 尽量 做 大 ”的 
设计 理念 ， 然 而 在 这 样 的 环境 中 一 旦 发 生 桥 接 环 路 ， 其 影响 之 大 、 后 果 之 严重 
将 不 卉 设想 。 对 此 ， 我 们 一 定 要 备 有 万 全 之 策 。 


利用 BPDU 守护 功能 切断 环 路 


我 们 可 以 利用 BPDU 守护 功能 来 切断 桥接 环 路 。 桥 接 环 路 是 很 少 发 生 在 网 络 管 
理 人 员 的 管理 范围 内 的 ， 而 是 大 多 发 生 在 服务 器 和 用 户 端口 这 些 管理 人 员 管 理 
范围 之 外 的 地 方 ， 的 确 从 人 的 天 性 来 说 ， 看 到 闲置 的 端口 就 会 想 要 派 上 用 场 
吧 。 


对 于 连接 服务 器 和 用 户 终端 的 端口 ， 我 们 应 激活 它们 的 PortFast 功能 ， 同 时 设置 
BPDU 守护 功能 。BPDU 守护 功能 的 机 制 是 ， 当 激活 了 PortFast 功能 的 端口 收 到 
BPDU 时 会 被 强制 关闭 。 如 果 有 环 路 存在 ， 计 划 之 外 的 BPDU 就 会 被 发 送 到 
PortFast 功能 已 被 激活 的 端口 中 去 ，BPDU 守护 功能 会 马上 截 住 这 些 BPDU 并 关 
闭 端口 ， 这 样 ， 环 路 就 被 切断 了 。 


前 面 已 经 讲 过 ， 作 为 一 项 宛 余 技术 ，STP 早已 被 StackWise 技术 和 VSS 取代 ， 
Wa 大 的 作为 了 ， 然 而 它 能 够 避免 桥接 环 路 这 个 特色 还 是 会 继续 发 扬 下 去 


CITEETEEIEEEE IIE 


; ;| 同时 激活 PostFast 和 BPDU 地 防 功 统 


管理 落 归 之 4 
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履 沈 形成 环 路 


ETE 


图 4.1.51 利用 BPDU 守护 功能 切断 环 路 


不 过 ，BPDU 守护 功能 并 不 是 万 能 的 。 假 设 存 在 一 台 收 到 BPDU 后 将 其 丢弃 的 
交换 机 ， 而 有 人 又 擅 目 环 回 连接 上 了 该 交换 机 ， 那 么 还 是 会 导致 通信 中 断 ， 在 
| 。 因此， 我 们 应 该 指定 好 管理 规定 ， 不 用 的 端口 务必 要 关 
财 挥 。 


4.1.3 ”网 络 层 的 元 余 技术 


关于 网 络 层 的 元 余 技术 ， 我 们 只 需 掌 握 FHRP (First Hop Redundancy Protocol， 
第 一 跳 风 余 协议 ) 和 路 由 协议 就 足够 了 。 这 两 个 协议 在 服务 器 端 互相 合作 ， 共 
同 实现 见 余 备份 。 下 面 就 分 别 讲解 一 下 这 两 个 协议 。 


4.1.3.1 FHRP 


FHRP 是 一 种 用 于 实现 服务 器 和 PC 的 第 一 跳 ， 也 就 是 默认 网 关 宛 余 备 份 的 协 
议 。 它 在 很 早 之 前 就 被 广 为 使 用 了 ， 可 以 说 是 见 余 备份 的 基础 要 素 。 目 前 ， 
LAN 中 的 FHRP 虽然 正在 被 StackWise 技术 和 VSS 逐渐 取代 ， 但 依然 占有 一 席 
之 地 。 此 外 ，FHRP 在 防火 墙 和 负载 均衡 器 的 基础 见 余 技术 中 也 有 着 用 武之 地 ， 
好 好 掌握 它 是 有 利 无 浆 的 。 


两 种 常用 的 FHRP 


FHRP 使 多 个 默认 网 关 束 像 一 个 虚拟 的 默认 网 关 那 样 运作 ， 以 此 来 实现 见 余 备 
份 。 它 将 两 全 设备 共享 的 IP 地 址 设 为 虚拟 IP 地址 ， 然 后 将 该 虚拟 IP 地 址 当 作 
默认 网 天 使 用 。 


可 用 于 路 由 器 和 L3 交换 机 的 FHRP 共有 三 种 ,分 别 是 HSRP (Hot Standby 
Routing Protocol， 热 备份 路 由 协议 ) 、VRRP (Virtual Router Redundancy 
Protocol， 虚 拟 路 由 器 见 余 协议 ) 和 GLBP (Gateway Load Balancing Protocol， 
网 天 负载 均衡 协议 ) 。 在 这 三 种 协议 中 人 们 一 般 会 选用 HSRP 或 VRRP， 下 面 本 
书 惑 详细 介绍 这 两 种 协议 。 


表 4.1.3 关于 FHRP 只 需 掌 握 HSRP 和 VRRP 即 可 


于 Hello 数 据 包 的 多 播 地 224.0.0.2 22 


Hello 间 隔 (发 送 Hello 数 据 包 


虚拟 1p 地 址 ee 可 设 成 和 真实 IP 地 址 相同 的 人 P 地 址 


ee 00-00-0C-07-AC-XX (XX |00-00-5E-00-01-XX (XX 为 虚拟 路 
es 为 组 ID) 名 的 ID) 


Preempt 功 能 ( 自 默认 为 休眠 状态 默认 为 激 注 


HSRP 


HSRP 是 思科 公司 独 有 的 FHRP， 如 果 网 络 环境 采用 的 全 是 清一色 的 思科 设 
备 ， 那 么 考虑 使 用 HSRP 是 绝对 没 错 的 。 


HSRP 通过 Hello 数据 包 中 的 组 ID 相互 识别 ， 然 后 比较 优先 级 (优先 的 程 
度 ) ， 将 优先 级 最 高 的 那 台 路 由 器 设置 为 活动 路 由 器 ， 其 他 的 设置 为 备用 
路 由 器 。 对 于 希望 其 成 为 活动 路 由 器 的 设备 ， 我 们 应 将 它 的 优先 级 设置 得 
比 备 用 路 由 器 的 更 高 。 


Hello 数据 包 实 际 上 就 是 一 种 UDP 多 播 。 在 源 IP 地 址 中 写 入 各 人 台 路 由 器 的 ] 
真实 IP 地 址 ， 在 目的 I 了 P 地 址 中 写 入 224.0.0.2， 在 源 / 目的 端口 号 中 写 入 
UDP/1985， 然 后 对 构成 HSRP 所 必需 的 这 些 信息 进行 封包 处 理 。 


BS 1.029000 192.168.1.253.224.0.0.2. 19585 hsrp HSRP 62 Hello (ststs Active) 


DB Frame 3: G2 bytes on wire {4065 bits), 62 Hytes captured (496 bits) 


HE INternet Protocol Varsion 4, Src; 192.168.1,253 (192.1698;1.253), Dst: 224,0.0, 2 0224. 0.0.2) 
1 User Datoogram Protocol, Src Port: hsrp (1985), Dst Port; hsrp (1985) 


Op Code: Hello (0) 
Stste: Active (16) 
Hellotime: Defsult (3) 
Holdtime: Default (10) 


Priority: 105 二 
[ceed- 乙 
Reserved: 0 相互 识别 


Authentication Data: Defeult (cisco) 
Virtual IP Address: 192,168.1,254 (192.1658,1.254) 


U 
01006359 73 扣 HO N00000 a801 向 


图 4.1.52 通过 Hello 数据 包 的 组 ID 相互 识别 


一 般 来 说 ， 只 有 活动 路 由 器 才 会 接收 用 户 的 通信 流量 并 基于 路 由 表 的 信息 
去 转发 数据 包 。 双方 每 隔 3 秒 会 互相 发 送 Hello 数据 包 ， 如 果 其 中 一 方 超过 
10 秒 未 能 收 到 Hello 数据 包 ， 或 是 收 到 了 优先 级 较 低 的 Hello 数据 包 ， 那 么 
备用 路 由 锅 就 会 接替 原来 的 活动 路 由 器 工作 ， 原 理 就 是 这 么 简单 。 


优 天 襄 1 : 
105 HSRP 丝 1 


图 4.1.53 ”通过 Hello 数据 包 了 解 对 方 的 状态 
VRRP 


VRRP 是 由 RFC 定义 的 FHRP， 一 般 用 在 由 多 家 供应 商 提 供 的 不 同 品牌 设 
备 所 组 成 的 环境 中 。 我 们 可 以 认为 VRRP 的 工作 原理 和 HSRP 的 基本 上 是 
一 样 的 ， 二 者 只 是 在 名 称 和 设计 上 有 一 些微 妙 的 区 别 而 已 ， 我 们 只 要 乔 清 
楚 这 些 区 别 所 在 就 可 以 了 。 


VRRP 通过 Advertisement 数据 包 中 的 虚拟 路 由 器 ID 相互 识别 ， 然 后 比较 优 
先 级 ， 将 优先 级 最 高 的 那 台 路 由 器 设置 为 主 路 由 器 ， 其 他 的 设置 为 备份 路 
由 器 。 对 于 希望 其 成 为 主 路 由 器 的 设备 ， 我 们 应 将 它 的 优先 级 设置 得 比 备 
份 路 由 器 的 更 高 。 


Advertisement 数据 包 实 际 上 就 是 一 种 多 播 。 在 源 IP 地 址 中 写 入 各 台 路 由 器 
的 真实 IP 地 址 ， 在 目的 IP 地 址 中 写 入 224.0.0.18， 然 后 对 构成 YRRP 所 必 
需 的 这 些 信息 进行 封包 处 理 。 


E Di:01 Pv3 
忆 br PrOUOCOL Orion Sre: 192, 169.1.252 (192. ET Dst: 224,0.0- CT 


B Verson 2, Packet type 1 (Advertieemerit) 还 过 雹 掖 此 直 册 ID: 
Ma 
prionity; 100 (Default priority for a backup VRRP router) 


Addr Count: 1 

Auth Type; No Authenucaton (0) 
Adver Int: 1 

Checksum: Oxb952 [correct] 

I Address: 192.169.1,1 (192.1698,1.1) 


0020 snr 3 bg 52.¢0 08 01 01.00 00| sy 
0030 00D000000000000a .020000 的 


图 4.1.54 通过 Advertisement 数据 包 的 虚拟 路 由 器 ID 相互 识别 


一 般 来 说 ， 只 有 主 路 由 器 才 会 接收 用 户 的 通信 流量 并 基于 路 由 表 的 信息 转 
发 数据 包 。 双方 每 隔 1 秒 会 互相 发 送 Advertisement 数据 包 ， 如 果 其 中 一 
超过 3 秒 未 能 收 到 Advertisement 数据 包 ， 或 是 收 到 了 优先 级 较 低 的 
Advertisement 数据 包 ， 备 份 路 由 器 就 会 接替 原来 的 主 路 由 器 工作 ， 原 理 和 
HSRP 一 样 非常 简单 。 


or 人 站 四 机 成 肌 了 IN 5 
Hs 主 辫 由 器 由 - i = 
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图 4.1.55 ”通过 Advertisement 数据 包 了 解 对 方 的 状态 
基于 Hello 报 文 的 接收 情况 执行 故障 转移 


当 备 用 路 由 需 在 Hold 时 间 内 未 能 收 到 Hello 报 文 ， 或 十 收 到 了 优先 级 较 低 的 
地 报 文 时 ，FHRP 就 会 执行 故障 转移 。 下 面 我 们 来 分 别 了 解 一 下 这 两 种 情 
? 


。 Hold 时 间 超 时 


备用 路 由 器 收 不 到 Hello 报 文 的 情况 也 许 比较 容易 想象 。 当 活动 路 由 器 发 生 

故障 ， 或 是 发 送 Hello 报 文 的 接口 有 问题 的 时 候 ，Hello 报 文 就 会 发 不 出 

0 路 由 器 收 不 到 来 自 活 动 路 由 器 的 Hello 报 文 ， FHRP 执行 故障 
Bz 


HSRP 牙 由 只 | 
| 匡 提 状态 一 活动 状态 中 


图 4.1.56 ”活动 路 由 器 或 接口 的 故障 导致 Hold 时 间 超 时 
收 到 优先 级 较 低 的 Hello 报 文 


活动 路 由 器 和 备用 路 由 器 是 由 Hello 报 文 中 的 优先 级 决定 的 。FHRP 会 对 特 
定 对 象 的 状态 〈 接 口 、 玻 通 情况 等 ) 进行 监控 ， 一 旦 发 现 故障 ， 就 通过 一 
个 叫 作 追踪 的 功能 将 当前 活动 路 由 器 的 优先 级 降低 。 这 样 ， 当 监控 对 象 发 
和 
百 细 。 


我 们 以 下 图 所 示 的 结构 为 例 来 具体 看 一 下 。 在 这 个 不 进行 追踪 处 理 的 结构 
网 . 8 使 WAN 接口 发 生 故 障 ，FHRP 也 不 会 执行 故障 转移 ， 结 果 导 致 通信 
径 矢 谐 。 


下 面 我 们 加 入 追踪 处 理 后 再 来 看 看 。FHRP 在 对 WAN 接口 状态 的 监控 中 发 
现 了 故障 ， 于 是 发 出 一 个 优先 级 已 降低 的 Hello 报 文 。 备 用 路 由 器 收 到 该 
Hello 报 文 之 后 ， 顺 利 升级 为 新 的 活动 路 由 器 。 


所 联网 【WAN ) 


图 4.1.57 ”不 进行 追踪 处 理 的 话 ， 通 信 路 径 就 会 失 谐 


五 联网 (WAN) 


HSRP 路 由 器 
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图 4.1.58 ”通过 追踪 处 理 强制 启动 故障 转移 
FHRP 的 运作 流程 


接 下 来 我 们 来 看 看 FHRP 是 怎样 实现 活动 /备用 路 由 器 的 元 余 结构 的 。 这 部 分 是 
FHRP 的 基本 原理 ，HSRP ,也 好 ， VRRP 也 好 ， 运 作 流 程 都 是 一 样 的 。 而 且 ， 防 
火 墙 和 负载 均衡 器 的 元 余 备份 采用 的 也 是 同样 的 机 制 ， 所 以 我 们 应 该 牢 牢 掌握 
这 个 部 分 。 
ARP 是 FHRP 的 基础 技术 和 空 强 后 百 盾 。 人 们 通过 对 ARP 的 控制 让 通信 流量 集中 
到 活动 路 由 器 ( 主 路 由 器 ) 上 。 在 FHRP 的 结构 中 ， 活 动 / 备用 路 由 器 各 自 拥 有 
不 同 的 物理 MAC/IP 地 址 ， 但 与 此 同时 ， 双 方 还 拥有 共享 的 虚拟 MAC/IP 地 
址 。 这 个 虚拟 MAC/IP 地 址 由 服务 器 和 PC 的 默认 网 关 来 设置 。 
。 正常 情况 下 的 运作 流程 

首先 我 们 来 看 看 正常 情况 下 的 运作 流程 。 

1 -” 针对 发 送 给 默认 网 关 卫 地 址 ( 即 虚拟 IP 地 址 ) 的 ARP 请 求 ， 活 动 

路 由 器 会 返回 一 个 答复 。 回 复 的 MAC 地 址 即 虚 拟 MAC 地 址 。 虚 拟 MAC 

地 址 因 FHRP 而 异 ，HSRP 的 虚拟 MAC 地 址 为 00-00-0C-07-AC-XX (这 里 

的 XX 为 组 ID) ，VRRP 的 虚拟 MAC 地 址 则 为 00-00-5E-00-01-XX (这 里 

的 XX 为 虚拟 路 由 器 ID) 。 

2 -在 客户 端的 ARP 条 目 中 写 入 虚拟 MAC 地 址 和 虚拟 IP 地 址 。 

3 ~” 数据 包 被 转发 给 活动 路 由 器 


4 一 活动 路 由 器 根据 本 机 中 的 路 由 表 信 息 转 发 数据 包 。 


亚 常 情 殉 下 元 有 有 污 动 
' 坟 当 会 答 ， IP 
tr ane 


HSRP 路 由 恕 | 活动 秋 高 ) | HSRP 铝 由 如 | 和 荷 机 大 意 ) 


活动 路 由 En 一 放下 下 加 
MAC ton 2 


图 4.1.59 ”正常 情况 下 只 有 活动 路 由 器 会 答复 虚拟 IP 的 ARP 请 求 
发 生 故 障 时 的 运作 流程 

下 面 我 们 再 来 看 看 启动 故障 转移 时 的 运作 流程 。 

1 活动 路 由 器 发 生 故 障 。 


2 -备用 路 由 器 未 能 收 到 来 自 活 动 路 由 器 的 Hello 报 文 ， 或 是 收 到 了 优先 
i Hello 报 文 ， 于 是 升级 为 新 的 活动 路 由 器 ， 同 时 发 出 GARP 声 

明 。 

3 ~” ”GARP 更 新 1L2 交换 机 的 MAC 地 址 表 ， 将 通 往 虚 拟 IP 地 址 的 路 径 引 
向 新 的 活动 路 由 器 。 此 时 客户 端的 ARP 条 目 并 不 更 新 ， 虚 拟 IP 地 址 的 
MAC 地 址 仍然 保持 虚拟 MAC 地 址 的 原样 不 变 。 


4 数据 包 被 转发 给 新 的 活动 路 由 器 。 
5 一 新 的 活动 路 由 器 根据 本 机 中 的 路 由 表 信 息 转 发 数据 包 。 


HSRP He 志 动 状 有 
[ls 


HSRP 路 外 妖 | 荷 机 状态 】 


图 4.1.60 ”执行 故障 转移 时 新 的 活动 交换 机 会 发 出 GARP 
注意 ID 冲突 


使 用 FHRP 时 ， 我 们 最 应 该 注意 的 一 点 就 是 要 避免 ID 发 生 冲 突 。FHRP 是 仅 赁 
Hello 报 文 中 的 组 ID1 去 识别 FHRP 组 中 的 路 由 器 的 。 因 此 ， 如 果 FHRP 组 外 的 
路 由 器 使 用 了 和 组 内 路 由 器 相同 的 ID，FHRP 就 会 无 法 正常 运作 。 


| 10 如 果 是 VRRP， 则 是 依靠 Advertisement 报 文中 的 虚拟 路 由 器 ID 去 识别 VRRP 组 中 的 路 由 器 的 。 


在 连接 构成 FHRP 的 设备 时 ， 我 们 要 做 三 道 确认 工作 。 首 先 ， 要 看 上 层 设备 是 

否 是 用 了 FHRP。 如 果 回 答 是 肯定 的 ， 要 继续 看 使 用 的 是 哪些 FHRP。 如 果 使 用 
的 是 相同 的 FHRP， 就 还 要 进一步 确认 它们 分 别 使 用 的 是 什么 ID。 当 上 层 设备 
为 数据 中 心 的 设施 时 ， 使 用 什么 ID 往往 是 有 具体 规定 的 ， 因 此 遇 到 这 种 情况 ， 
我 们 就 要 使 用 指定 好 的 ID 。 


让 根 网 桥 和 活动 路 由 器 彼此 对 准 位 置 


数据 链 路 层 通 过 STP 实现 见 余 备份 ， 网 络 层 则 通过 FHRP 实现 元 余 备份 一 一 这 
在 不 久之 前 还 曾 是 绝对 的 业界 标准 ， 但 是 最 近 ， 这 对 元 余 技 术 已 经 逐渐 被 
StackWise 技术 和 VSS 所 取代 ， 今 后 人 们 在 新 建 元 余 备 份 时 可 能 就 不 会 再 用 到 它 
不 过 ， 既 然 它们 仍 将 继续 存在 ， 那 我 们 掌握 好 它们 的 相关 知识 总 是 有 利 


通过 STP 和 FHRP 实现 见 余 备份 的 时 候 ， 我 们 必须 让 根 网 桥 和 活动 路 由 器 彼此 
对 准 位 置 。 如 采 根 网 桥 对 准 的 是 备用 路 由 器 ， 那 么 通信 要 到 达 上 层 设 备 就 不 得 
不 绕 远 。 绕 远 就 会 造成 延迟 ， 既 耽误 时 间 ， 也 影响 效率 ， 还 会 给 运行 管理 带 来 
一 些 不 必要 的 廊 烦 。 因 此 ， 我 们 一 定 要 遵守 让 STP 的 根 网 桥 和 FHRP 的 活动 路 
由 器 彼此 对 准 位 置 这 条 原则 。 


通过 多 个 组 ID 来 实现 活动 / 活动 元 余 结构 


FHRP 在 每 个 组 中 采用 的 都 是 活动 / 备用 见 余 结构 。 我 们 不 妨 这 样 认为 ， 因 为 每 
个 组 都 有 一 个 虚拟 IP 地址， 所 以 每 个 虚拟 IP 地 址 都 对 应 着 一 个 活动 /备用 元 余 
结构 。 而 FHRP 也 可 以 利用 这 种 机 制 ， 架 构 出 活动 /活动 见 余 结构 。 具 体 来 说 ， 

就 是 以 虚拟 IP 地 址 为 单位 去 切换 活动 机 ， 这 样 ， 从 整体 的 角度 来 看 就 实现 了 活 
动 /活动 元 余 结构 。 引 良 置 疑 ， 在 这 种 架构 中 ， 我 们 必须 想 办 法 让 下 属 客户 端的 
稚 认 网 关 能 够 得 到 合理 的 分 散 ， 人 否则 活动 /备用 元 余 结构 也 是 无 法 工作 的 。 


; | 根 底板 和 活动 外 由 英 没 有 绞 此 对 准 
;| 位 杆 的 情况 
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图 4.1.61 让 根 网 桥 和 活动 路 由 器 彼此 对 准 位 置 


HSRP 组 ID: 2 
虚拟 IP 地址，192.168.1.2 


: ;以 碟 拟 IP 地 址 为 单位 


要 
人 


HSRP 组 ID: 1 
感 拟 PP 地址: 192.168.1.1 


人 


HSRP 路 由 器 
192.168.1.2 
ARP 回复 


睦 认 网 关 默认 两 关 一 改变 PC 的 默认 网 关 


图 4.1.62 ”以 虚拟 IP 地 址 为 单位 对 活动 机 进行 切换 


最 近 几 年 ， 随 着 通信 流量 的 激增 ， 活 动 /备用 元 余 结 构 和 mn 十 1 结构 似 有 卷 土 重 
来 之 势 。 这 大 概 是 因为 很 多 和 人 认为， 既然 备 用 机 大 部 分 时 间 都 在 休眠 ， 那 么 何 
不 让 它们 发 挥 作用 ， 去 分 散 一 部 分 通信 流量 呢 ? 那 样 的 话 处 理 效 率 一 定 会 更 
高 .….. 然 而 ， 我 们 必须 清楚 地 认识 到 ， 基 于 FHRP 的 活动 机 /备用 机 元 余 结构 有 
着 一 个 很 大 的 缺点 ， 那 就 是 运行 管理 非常 麻烦 。 如 果 你 的 确 有 与 之 相当 的 技术 
水 平 ， 非 常 善于 管理 ， 又 相信 自己 能 够 完美 地 驾驭 这 种 见 余 结构 ， 那 么 当然 没 
有 任何 问题 。 不 过 ， 如 果 一 发 生 问题 你 还 是 得 求助 于 工程 师 的 话 ， 那 么 笔者 还 
征 劝 你 不 要 使 用 这 种 元 余 结 构 了 。 


4.1.3.2 ”利用 路 由 协议 确保 通 往 上 层 设备 的 路 径 
路 由 协议 不 仅 负责 学 习 路 径 信息 ， 还 肩负 着 实现 见 余 备 份 的 重任 。 路 由 器 和 3 


交换 机 将 路 径 信息 暂时 保存 在 非 路 由 表 的 表 中 ， 在 真正 的 路 由 表 中 只 写 入 度量 
值 最 小 的 那 条 最 佳 路 径 。 路 径 学 习 告 一 段落 之 后 ， 路 由 协议 会 敦促 路 由 器 发 出 


Hello 报 文 或 KEEPALIVE 消息 以 了 解 对 方 的 状态 ， 发 生 故 障 时 也 是 利用 这 些 数 
据 包 去 检测 故障 ， 确 保 迁 回路 径 。 


通过 BGP 实现 通 往 ISP 的 路 径 宛 余 


服务 器 端 是 通过 BGP 确保 通 往 ISP 的 路 径 见 余 的 。BGP 在 学 习 完 路 径 之 后 会 敦 
促 路 由 器 发 出 KEEPALIVE 消息 ， 以 此 来 定期 监控 彼此 的 状态 。 


ISP 对 于 KEEPALIVE 消息 的 发 送 间隔 和 Hold 时 间 都 会 提示 推荐 时 长 ， 我 们 应 
按照 这 些 提 示 去 完成 设置 。 这 里 的 推荐 时 长 可 以 理解 为 通信 中 上 断 时 间 。 另 外 ， 
内 部 是 通过 FHRP 实现 活动 /备用 元 余 结 构 的 。 因 此 ， 我 们 应 将 元 余 结构 下 直属 
1 (在 图 4.1.63 所 示 的 结构 中 为 防火 墙 ) 的 默认 网 关 设 置 为 FHRP 的 虚拟 IP 


如 果 在 Hold 时 间 内 未 能 收 到 KEEPALIVE 消息 ，BGP 就 会 断定 已 有 故障 发 生 ， 

在 历经 多 段 路 程 之 后 另外 开通 出 一 条 通 往 ISP 的 路 径 并 确保 其 畅通 无 了 胆 。 由 于 

BGP 是 通过 KEEPALIVE 消息 判断 出 故障 的 ， 所 以 即使 途中 某 处 断 掉 也 能 够 马 

上 发 现 问题 。 另 外 ，ISP 的 路 径 即 使 被 切换 掉 ，FHRP 也 不 会 执行 故障 转移 ， 毕 
竟 切 换 的 只 是 上 层 路 由 信息 而 已 。 


L3 交换 机 只 的 路 由 表 ( 正常 情况 下 ) 


: L3 交换 机 L3 交换 机 @ 


L3 交 接 机 的 LAN 方面 是 通过 
FHRP 实现 见 仿 备 份 的 


防火 端的 路 由 悄 ( 正常 情 况 下 ] 


0000 | 0000 |L3 交 澳 机 看 折 


图 4.1.63 ”通过 发 送 KEEPALIVE 消息 监控 有 路径 状态 


[3 交换 机 人 了 的 路 外表 [ 正和 常情; 个 ) 
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图 4.1.64 ”通过 发 送 KEEPALIVE 消息 检测 出 故障 
LAN 内 的 路 径 通过 IGP 实现 元 余 


LAN 内 的 路 径 是 通过 OSPF 或 EIGRP 等 IGP 来 实现 元 余 的 。 在 不 久之 前 的 网 络 
设计 中 ， 人 们 还 倾向 于 将 VLAN 尽量 做 小 并 且 大 量 地 分 布 路 由 选择 点 。 在 这 个 
前 提 下 ， 通 过 IGP 去 实现 路 径 元 余 是 必需 的 手段 。OSPF 和 EIGRP 的 默认 设置 

均 为 等 价 多 路 径 (度量 值 相同 的 路 径 全 部 都 要 用 上 ) ， 因 此 能 够 同时 实现 带宽 

增强 和 路 径 元 余 。 


核心 L3 交换 机 人 的 路 外表 


ET 
Ea 


a 


和 果 代 加 们 相 辣 ， 刚 丙 条 二 入 二 补 写 入 表 记 
图 4.1.65 ”通过 IGP 实现 路 径 宛 余 


4.1.4 ”从 传输 层 到 应 用 层 的 元 余 技术 


从 传输 层 到 应 用 层 的 见 余 技术 在 网 络 层 的 见 余 技 术 FHRP 中 义 加 入 了 同步 技 
术 ， 从 而 实现 了 更 上 一 层 楼 的 效果 。 基 本 工作 机 制 并 没有 变化 ， 不 过 对 于 不 同 
的 信息 会 进行 不 同 的 同步 处 理 ， 下 面 我 们 就 来 详细 说 明 。 


4.1.4.1 ”防火墙 的 元 余 技 术 


防火 墙 的 见 余 技术 是 在 FHRP 中 添加 了 几 项 同步 技术 ， 包 括 设置 信息 和 连接 信 
县 的 同步 等 ， 进 而 在 更 高 的 层次 上 实现 了 元 余 备 份 。 关 于 这 两 项 同步 技术 ， 我 
们 先 来 通过 它们 和 FHRP 的 比较 来 说 明 一 下 。 


同步 设置 信息 


FHRP 中 活动 路 由 器 和 备用 路 由 器 的 设置 信息 是 各 自 独 立 的 ， 并 没有 同步 。 因 
如 果 我 们 修改 了 活动 路 由 器 的 设置 ， 那 么 也 要 同样 修改 备用 路 由 器 的 设 

否则 就 无 法 保持 二 者 的 一 致 性 。 与 此 相对 ， 防 火 墙 的 元 余 技 术 能 够 根据 活 
动机 的 设置 目 动 同步 备用 机 的 设置 ， 让 设备 的 运行 管理 更 加 方便 快捷 。 


防火 墙 ( 待机 状态 ) 


防火 墙 ( 活动 状态 ) 
图 4.1.66 同步 设置 信息 


同步 连接 信息 


虽然 FHRP 会 通过 发 送 Hello (Advertisement) 报 文 去 掌握 对 方 的 通信 状态 ， 但 
并 没有 对 连接 信息 进行 同步 处 理 。 说 起 来 ， 数 据 包 这 一 级 的 路 径 变更 和 连接 、 
应 用 程序 的 运行 本 来 就 没有 太 大 的 关系 ， 所 以 人 们 一 般 认 为 没 必要 去 同步 连接 
信息 。 但 是 防火 墙 就 不 一 样 了 ， 防 火 墙 是 基于 TCP 连接 信息 来 建立 过 滤 规 则 

的 。 从 这 个 角度 来 看 ， 不 同步 连接 信息 是 说 不 过 去 的 ， 因 为 假如 连接 中 断 而 不 
得 不 重建 ， 应 用 程序 就 会 无 法 接 通 ， 这 可 称 得 上 是 重大 事故 了 “。 为 了 避免 出 现 
这 种 情况 ， 我 们 必须 在 防火 墙 中 同步 连接 信息 ， 给 备用 机 预先 建 立 起 过 滤 规 

则 ， 这 样 才能 尽量 减少 发 生 故 障 时 TCP 层面 的 宕 机 时 间 。 
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图 4.1.67 同步 连接 信息 


用 于 同步 的 链 路 应 另外 设计 


防火 墙 的 元 余 技术 要 求 我 们 必须 严格 遵守 一 项 原则 ， 那 就 是 要 将 用 于 同步 的 链 
路 和 用 于 同步 的 VLAN 分 别 设计 。 用 于 同步 的 数据 量 可 不 像 Hello 报 文 或 
Advertisement 报 文 那样 少 ， 并 且 由 于 是 实时 地 同步 信息 ， 端 口 的 LED 灯会 一 直 
地 猛烈 闪 动 ， 简 直 让 人 怀疑 是 不 是 出 现 了 环 路 故障 。 有 鉴于 此 ， 我 们 应 尽 可 能 
地 避免 同步 与 正常 服务 的 通信 并 存 ， 应 将 用 于 同步 的 链 路 和 VLAN 分 开 来 设 


计 。 


用 于 同步 的 链 路 是 防火 墙 见 余 技术 中 最 根本 的 一 条 重要 链 路 ， 这 条 链 路 如 果 中 
断 的 话 事态 就 非常 严重 了 。 为 了 避免 出 现 这 样 的 局 面 ， 人 们 一 般 会 用 链 路 聚合 
将 链 路 捆绑 在 一 起 以 应 对 原 发 性 故障 。 有 些 设备 还 可 以 设置 第 二 链 路 和 第 二 
VLAN， 以 防 主 链 路 中 断 时 没有 备用 的 可 供 切 换 。 对 于 这 样 的 设备 ， 请 务必 将 它 
们 的 Trust VLAN (LAN 方面 的 VLAN) 定义 成 第 二 位 的 性 质 。 笔 者 见 过 误 将 
Untrust VLAN 定义 成 第 二 位 性 质 的 网 络 环境 ， 按 照 这 个 错误 设置 来 的 话 ， 
链 路 中 断 时 管理 信息 就 会 全 部 泄露 出 去 ， 是 万 万 不 可 的 。 请 记 住 ， 至 少 ， 

链 路 一 定 要 定义 成 Trust VLAN 中 的 链 路 才 行 。 


通过 其 他 的 VLAN 和 其他 的 | ; 
链 路 交换 同步 数据 包 


用 于 同步 的 
数据 包 


防火 墙 防火 墙 


( 活动 状态 ) 掉 


L2 交换 机 L2 交换 机 
图 4.1.68 ”用 于 同步 的 链 路 应 另外 设计 
设置 虚拟 MAC 地址 


有 些 设备 可 以 将 它们 真实 的 MAC/IP 地 址 直接 用 作 两 机 共享 的 虚拟 MAC/IP 地 
址 ， 思 科 公 司 的 ASA 系列 设备 就 是 一 例 。 在 这 个 系列 中 ， 最 初 定义 的 主机 的 真 
实 MAC/TP 地 址 即 默认 的 虚拟 MAC/IP 地 址 。 使 用 这 种 设备 时 ， 主 机 一 旦 被 更 
换 ， 虚 拟 MAC 地 址 就 会 改变 ， 最 终 导 致 通信 中 断 。F5 Networks 公司 的 BIG-IP 
系列 设备 则 是 另 一 种 情况 。 在 这 个 系列 中 ， 两 机 并 没有 共享 的 虚拟 MAC 地 址 ， 


而 是 将 活动 机 的 真实 MAC 地 址 用 作 虚 拟 IP 地 址 的 MAC 地址。 使 用 这 种 设备 
时 ， 一 旦 执行 故障 转移 ， 所 有 相 邻 设备 的 ARP 条 目 都 需要 通过 GARP 进行 切 
换 ， 所 以 周边 设备 的 状态 变化 比较 大 。 


对 虚拟 |P 的 ARP 请 求 ， 有 
Nn MAC ”= | 更 换 主机 后 通信 中 断 


ASA5500 系列 ASA5500 系列 
( 主 / 活动 机 ) ( 副 / 备 用 机 ) 


备用 机 


从 是 哪 位 ? 


图 4.1.69 有些 设备 可 将 活动 机 的 MAC 地 址 直接 用 作 虚 拟 MAC 地 址 

如 果 设 备 本 身 人 允许 指定 虚拟 MAC 地 址 ， 那 我 们 最 好 事先 就 设置 好 ， 这 一 点 对 任 
何 设备 的 元 余 备 份 来 说 都 是 一 样 的 。 因 为 这 样 的 话 ， 我 们 就 能 将 相 邻 设备 的 状 
态 变 化 控制 在 最 小 范围 之 内 。 

防火 墙 元 余 技 术 的 运作 流程 


请 记 住 ， 防 火 墙 元 余 技 术 的 基本 运作 流程 和 FHRP 并 没有 太 大 的 不 同 ， 只 是 在 
FHRP 的 基本 运作 中 增加 了 同步 处 理 而 已 下面， 我 们 就 来 看 一 看 具体 的 步骤 。 


。 正常 情况 下 的 运作 流程 
首先 ， 我 们 来 看 看 正常 情况 下 的 运作 流程 。 


1 ”针对 发 送 给 默认 网 关 IP 地址 ( 即 虚 拟 IP 地址 或 NAT 地址) 的 ARP 
请 求 ， 活 动 防火 墙 会 返回 一 个 答复 。 答 复 的 MAC 地 址 即 虚 拟 MAC 地 址 。 


2 ~” 在 客户 端的 ARP 条 目 中 写 入 虚拟 MAC 地 址 和 虚拟 卫 地址。 


3 ~ 客户 端 中 经 由 活动 防火 墙 建立 起 TCP 连接， 具体 来 说 是 经 过 活动 防 
火 墙 执行 三 次 握手 处 理 之 后 建立 起 TCP 连接 。 


4 活动 防火 墙根 据 TCP 连接 信息 建立 起 过 滤 规 则 ， 同 时 将 该 连接 信息 
同步 到 备用 防火 墙 中 。 于 是 备用 防火 墙 也 根据 该 连接 信息 建立 起 过 滤 规 


则 。 
von ns EE 


防火 境 ( 活动 状态 ) 


MAC 地 址 -YY 


图 4.1.70 正常 情况 下 的 运作 和 FHRP 基本 一 样 
发 生 故 障 时 的 运作 流程 

接 下 来 ， 我 们 再 看 看 执行 故障 转移 时 的 运作 流程 。 
1 活动 防火 墙 发 生 故 障 。 


2 -备用 防火 墙 通 过 同步 数据 包 检 测 到 该 故障 并 升级 为 新 的 活动 防火 
墙 ， 同 时 发 出 GARP 声明 。 


3 -GARP 更 新 1L2 交换 机 的 MAC 地 址 表 ， 并 将 通 往 虚 拟 IP 地 址 的 路 径 
引 向 新 的 活动 防火 墙 。 此 时 客户 端的 ARP 条 目 并 不 更 新 ， 虚 拟 IP 地 址 的 
MAC 地 址 仍然 保持 虚拟 MAC 地 址 的 原样 不 变 。 


4 -， ”经 由 新 的 活动 防火 墙 建立 连接 。 
5 -。 ”由 于 新 的 活动 防火 墙 中 早已 拥有 同步 好 的 连接 信息 ， 所 以 可 继续 保 


持 连 接 状 态 。 


防火 坊 { 发 生 故 障 ] 防火 增 {街机 状态 ~* 活 动 状 闹 ] 


护 籽 下 -1.4.1.1 


图 4.1.71 利用 同步 好 的 连接 信息 缩短 通信 中 断 时 间 
4.1.4.2 ”负载 均衡 器 的 元 余 技术 


负载 均衡 器 的 风 余 技术 是 在 防火 墙 见 余 技 术 和 同步 技术 的 基础 上 进一步 添加 了 
应 用 程序 的 同步 技术 ， 能 够 在 更 高 的 层次 上 实现 见 余 备 份 。 与 防火 墙 的 情况 相 
比 ， 二 者 的 基本 设计 要 点 和 元 余 机 制 大 都 是 一 样 的 ， 只 是 同步 的 范围 稍 有 差异 
而 已 。 这 里 ， 我 们 仅 介 绍 一 下 负载 均衡 器 风 余 技术 中 重要 的 部 分 。 


同步 会 话 保持 信息 


负载 均衡 器 见 余 备份 的 关键 在 于 同步 会 话 保持 表 。 会 话 保持 是 确保 应 用 程序 同 
步 不 可 或 缺 的 一 项 功能 。 执 行 故障 转移 的 时 候 ， 如 果 我 们 没有 同步 会 话 保持 
表 ， 应 用 程序 就 会 被 分 配 到 另外 的 服务 器 中 ， 导 致 前 后 无 法 呼应 。 因 此 我 们 必 
须 始终 同步 会 话 保持 的 信息 ， 使 其 能 够 持续 不 断 地 被 分 配 到 同一 台 服 务 器 中 ， 
确保 应 用 程序 的 前 后 呼应 和 一 致 性 。 


鹤 户 鼎 互联 网 窑 广 泊 
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图 4.1.72 ”同步 会 话 保持 信息 
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图 4.1.73 ”继承 会 话 保持 信息 


4.2 高 可 用 性 设计 


前 面 介 绍 了 多 种 在 元 余 结 构 中 使 用 的 技术 和 这 些 技术 的 设计 要 点 。 从 这 一 章节 
开始 ， 本 书 将 从 实用 性 的 角度 来 讲解 如 何在 服务 器 端 组 合 应 用 这 些 技术 ， 以 及 
我 们 在 设计 和 架构 网 站 时 必须 注意 哪些 事项 。 


4.2.1 高 可 用 性 设计 


高 可 用 性 设计 的 要 点 在 于 并 列 配置 。 具 体 来 说 ， 就 是 将 同一 种 类 型 的 设备 并 列 
配置 ， 然 后 用 L2 交换 机 将 它们 拼接 起 来 。 在 第 1 章 里 已 经 讲 过 ， 元 余 结构 只 有 
串联 式 和 单 路 并 联 式 两 种 。 下 面 ， 就 分 别 说 明 在 这 两 种 结构 类 型 中 分 别 利 用 了 
怎样 的 见 余 技术 ， 又 古 如 何 利 用 这 些 见 余 技 术 的 。 


4.2.1.1 ”串联 式 结构 


首先 ， 我 们 来 看 看 串联 式 结构 。 在 捉 联 式 结构 中 ， 各 个 组 成 部 分 各 司 其 职 ， 结 
构 非 常 简单 。 结 构 中 的 路 径 一 目 了 然 ， 故 障 也 容易 排除 ， 因 此 深 受 管理 人 员 的 
青睐 。 在 介绍 物理 设计 的 章 市 中 我 们 已 经 接触 过 几 种 结构 实例 ， 下 面 将 基于 这 
些 实例 来 进行 讲解 。 


串联 式 结构 之 类 型 1 


我 们 先 来 看 看 第 一 种 类 型 《如 图 4.2.1) ， 这 是 串联 式 结构 中 最 简单 、 最 容易 理 
解 的 一 种 网 络 结构 。 人 们 就 是 在 这 种 结构 的 基础 上 对 各 种 元 余 技术 进行 了 组 合 
和 应 用 ， 这 样 说 就 比较 容易 理解 了 吧 。 下 面 我 们 就 从 ISP 的 角度 出 发 ， 逐 一 看 
看 各 个 组 成 要 素 分 别 是 怎样 的 情况 。 


滨 渴 
注 演 
中 路 


图 4.2.1 在 串联 式 结构 类 型 1 中 使 用 的 元 余 技 术 


CE 交换 机 


CE (Customer Edge， 客 户 边 缘 ) 交换 机 在 互联 网 上 和 LAN 上 分 别 使 用 着 
不 同 的 元 余 技术 。 在 互联 网 上 是 通过 BGP 实现 见 余 备份 的 。 具 体 说 来 就 是 
在 PE (Provider Edge， 运 营 商 边缘 ) 交换 机 和 eBGP 对 等 体 之 间 ， 以 及 CE 
交换 机 之 间 安 排 BGP 对 等 体 ， 生 成 迁 回路 径 。 而 在 LAN 上 则 是 通过 
FHRP 实现 活动 /备用 宛 余 结构 的 。 如 果 是 出 站 通信 ， 正 常情 况 下 只 有 活动 
路 由 器 会 接收 数据 包 ， 然 后 根据 通过 BGP 学 习 到 的 路 径 转发 数据 包 ; 如 果 
是 入 站 通信 ， 则 在 ISP 中 操作 BGP 属性 ， 让 数据 包 只 会 被 传 给 活动 路 由 
器 。 


事实 上 ， 由 于 ISP 大 多 会 提供 租赁 设备 供 我 们 使 用 ， 所 以 这 部 分 的 设置 
可 能 并 不 需要 我 们 人 动手 。 不 过 ， 了 人 解 原理 和 机 制 对 工程 师 来 说 是 非常 
重要 的 ， 况 且 它 们 本 映 也 非常 有 趣 。 


防火 墙 


防火 墙 同样 也 是 由 活动 机 和 备用 机 构成 的 。 我 们 应 该 另外 设计 用 于 同步 的 
链 路 和 用 于 同步 的 VLAN， 然 后 交换 设置 信息 和 状态 信息 的 同步 数据 包 ， 
将 设备 状态 的 变化 对 服务 通信 流量 的 影响 控制 在 最 小 范围 之 内 。 


L2 交换 机 (设置 在 防火 墙 和 负载 均衡 器 之 间 ) 


设置 在 此 处 的 工 2 交换 机 乍 一 条 入 管理 人 员 
过 来 询问 “根本 用 不 上 吧 ? ”然而 回答 是 否定 的 。 事 实 上 ， 这 人 台 L2 交换 机 起 
着 非常 重要 的 作用 ， 它 能 将 防火 墙 和 负载 均衡 器 的 元 作 宙 出 分 隔 开 如 条 
没有 这 台 L2 交换 机 ， 当 防火 墙 或 负载 均衡 器 其 中 一 方 执 行 故障 转 移 时 ， 男 
一 方 束 会 受 其 影响 也 会 随 之 执行 故障 转移 。 为 了 避免 不 必要 的 服务 中 断 ， 
这 台 L2 交换 机 绝对 是 必要 的 。 


负载 均衡 器 

我 们 可 以 认为 负载 均衡 器 的 设计 和 防火 墙 的 基本 上 是 一 样 的 ， 同 样 也 是 由 
活动 机 和 备用 机 构成 ， 也 是 要 另外 单独 设计 用 于 同步 的 链 路 和 用 于 同步 的 
VLAN， 然 后 交换 设置 信息 和 状态 信息 的 同步 数据 包 ， 将 设备 状态 的 变化 对 
服务 通信 流量 的 影响 控制 在 最 小 范围 之 内 。 

L2 交换 机 (设置 在 负载 均衡 器 和 服务 器 之 间 ) 


几乎 没有 任何 一 种 结构 是 让 服务 器 直接 连接 到 负载 均衡 器 上 去 的 。 说 起 
来 ， 负 载 均 衡器 本 身 就 并 不 具备 大 量 的 物理 端口 ， 所 以 必须 通过 工 2 交换 机 


殖 


去 连接 服务 器 。 考 虑 到 L2 交换 机 本 身 可 能 会 发 生 故 障 ， 所 以 应 该 连接 成 皇 
四 方形 的 回路 。 


。 服务 器 


服务 万 网 卡 是 通过 网 卡 组 合 实现 元 余 备份 的 。 元 余 方 式 有 很 多 种 ， 但 最 侧 
单 易 行 、 也 是 最 受 人 们 欢迎 的 是 由 活动 / 备用 机 构成 的 AFT 方式 。 考 虑 到 
交换 机 可 能 会 发 生 故 障 ， 我 们 必须 让 活动 机 和 备用 机 各 目 连 接 不 同 的 交换 
机 才 行 。 采 用 AFT 方式 时 ， 通 信 流 量 容易 集中 到 活动 网 卡 上 ， 但 是 对 于 通 
信 流量 的 增加 ， 人 们 大 多 会 选择 增设 负载 均衡 服务 器 这 种 横向 扩展 的 办 法 
来 应 对 。 横 回 扩 展 同时 具有 元 余 备 份 的 效果 ， 人 们 将 负载 均衡 服务 做 并 列 
配置 并 实施 健康 检查 ， 以 此 来 实现 服务 器 和 服务 本 身 的 见 余 备份 。 


串联 式 结构 之 类 型 2 


我 们 再 来 看 第 二 种 类 型 。 这 种 类 型 是 在 第 一 种 结构 类 型 中 加 入 了 刀片 服务 器 、 
虚拟 化 、StackWise 技术 和 VSS、 数 据 安全 区 域 划分 这 四 个 元 素 (如 图 4.2.2) 。 
Untrust 区 域 和 类 型 1 是 一 样 的 。 这 里 我 们 只 选择 性 地 介绍 类 型 2 和 类 型 1 不 一 
样 的 地 方 。 


引 Trust 妈 域 的 !33 交 洲 机 | 上告 Trust 区 战 的 13 交换 机 忆 
:| 1VSS 话 动 状态 】 (VSS 荡 冀 用 状 恋 ) |: 


交换 机 模块 管理 
Nee | Stock Mamiber ] | 


se = A 


人 Trust 区 域 的 DMZ 汉 晤 的 Trust 区 域 的 | | | PDMZz 东城 的 | | Trust 区 域 的 
换 交 祸 机 | | 虑 的 交换 机 卡拉 交换 机 | | 诬 执 交 杭 检 谨 掉 交 模 机 | | 至 执 交换 机 : 


| 以 匡 姥 】 
| 党务 名 GV 


Re 


tock Mastan } (Stack Mambar ) a 


图 4.2.2 在 串联 式 结构 类 型 2 中 使 用 的 元 余 技术 
※ 由 于 版 面 关 系 ， 部 分 服务 器 在 图 中 省 略 未 画 。 
。 工 2 交换 机 (DMZ) 


DMZ 区 域 的 L2 交换 机 利用 StackWise 技术 使 得 元 余 备份 和 结构 简化 能 够 同 
时 实现 。 从 物理 角度 上 看 存在 两 台 交 换 机 ， 但 从 逻辑 角度 上 看 则 只 有 一 


台 。 不过， 防火 墙 和 人 负载 均衡 器 应 分 别 连接 不 同 的 物理 交换 机 ， 以 应 对 某 
台 物 理 交 换 机 发 生 故 障 的 情况 。 


交换 机 模块 


he 也 是 通过 StackWise 技术 实现 元 余 
备份 的 。 人 负载 均 衡 占 分别 连接 到 不 同 的 物理 交换 机 上 ， 以 应 对 某 人 台 物 理 交 
项 村 发 生 堆 际 的 情况 。 至 于 1L3 交换 机 的 连接 ， 则 古 形 成 链 路 率 合 之 后 分 别 
从 不 同 的 物理 交换 机 获取 物理 链 路 。 交 换 机 模块 是 按 用 途 (DMZ、Trust、 
虚拟 通信 流量 ) 划分 开 的 ， 它 们 的 通信 流量 不 会 互相 影响 。 


刀片 服务 器 和 虚拟 化 处 理 


刀片 服务 磊 按 用 途 对 应 交换 机 模块 ， 并 与 交换 机 借 决 厦 目 动 进 行 惫 理 壕 线 
的 ， 每 个 用 途 对 应 两 台 交 换 机 模块 ， 总 共有 六 台 交 换 机 模块 。 利 用 连接 好 
的 网 卡 组 合 虚拟 交换 机 ， 芝 拟 交 涛 机 肖 合 抽 偶 最 的 和 多 采用 基于 端口 ID 的 
方式 或 明确 的 故障 转移 方式 ， 故 障 检测 则 多 采用 链 路 状态 检测 方式 。 虚 拟 
化 处 理 能 够 简单 快速 地 添加 服务 器 ， 这 使 得 服务 器 容易 在 不 知 不 觉 中 越 来 
越 多 ， 所 以 我 们 必须 巧妙 地 将 负载 均衡 分 配 出 去 。 另 外 ， 我 们 还 得 注意 虚 
拟 机 的 配置 问题 ， 如 果 将 相同 作用 的 虚拟 机 都 分 配给 同一 台 物 理 机 ， 那 么 
该 物理 机 一 旦 宕 机 ， 服 务 就 会 中 断 。 因 此 ， 相 同 作用 的 虚拟 机 务必 分 配给 
不 同 的 物理 机 才 行 。 


L3 交换 机 (Trust 区 域 ) 


Trust 区 域 是 通过 VSS 形成 的 。VSS 和 StackWise 技术 一 样 ， 从 物理 角度 上 
看 存在 两 台 交 换 机 ， 但 从 逻辑 角度 上 看 则 只 两 道 防 火 墙 应 分 别 和 
不 同 的 物理 交换 机 连接 ， 利 用 链 路 聚合 使 交换 机 模块 的 连接 能 够 同时 实现 
链 路 元 余 和 带宽 扩展 。 分 别 连接 不 同 的 物理 交换 机 ， 是 为 了 让 通信 在 某 台 
交换 机 发 生 故 障 时 不 至 于 中 断 。 


4.2.1.2 单 路 并 联 式 结构 


接 下 来 ， 我 们 再 看 看 单 路 并 联 式 结构 。 在 这 种 结构 中 ， 核 心 L3 交换 机 扮演 着 多 
重 角色 ， 整 体 结构 比 串 联 式 结构 要 复杂 “。 不 过 ， 这 种 结构 兼 具 逻 辑 结构 的 有 灵活 
性 和 可 扩展 性 ， 非 常 适合 规模 较 大 的 环境 。 单 路 并 联 式 结构 分 为 物理 结构 和 逮 
辑 结构 两 种 ， 我 们 整理 好 这 两 种 分 类 之 后 再 去 学 习 会 比较 容易 理解 一 些 。 


单 路 并 联 式 结构 之 类 型 1 


先 来 看 第 一 种 类 型 (如 图 4.2.3) ， 这 是 单 路 并 联 式 结构 中 比较 容易 理解 的 一 种 
a ee ee 
这 样 说 就 比较 容易 理解 了 吧 。 下 面 ， 我 们 就 从 ISP 的 角度 出 发 ， 逐 一 看 看 各 个 
组 成 要 又 分 别 是 怎样 的 情况 。 
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图 4.2.3 在 单 路 并 联 式 结构 类 型 1 中 使 用 的 元 余 技 术 
。 核 心 L3 交换 机 


可 以 说 ， 核 心 交 换 机 决定 了 单 路 并 联 式 结构 的 一 切 。ISP 的 PE 路 由 器 之 间 
的 BGP 对 等 体 也 要 通过 核心 交换 机 去 安排 ,LAN 内 的 VLAN 通过 FHRP 
形成 活动 / 备用 结构 。 在 串联 式 结构 中 ， 为 了 减少 故障 转移 的 影响 我 们 非得 
配置 L2 交换 机 不 可 ， 然 而 在 单 路 并 联 式 结构 中 就 不 需要 世 2 交换 机 了 ， 因 
为 核心 交换 机 完全 可 以 起 到 相同 的 作用 。 由 于 身 兼 数 职 ， 核 心 交 换 机 发 生 
故障 时 的 影响 还 是 比较 大 的 ， 不 过 它 能 够 统一 管理 复杂 的 端口 分 配 工作 ， 
这 是 个 很 大 的 优点 。 


。 防 火 墙 


防火 墙 由 活动 机 和 备用 机 构成 ， 通 过 链 路 聚合 连接 核心 L3 交换 机 ， 能 够 同 
时 实现 元 余 备 份 和 带宽 扩展 。 另 外 ， 防 火 墙 是 通过 主干 链 路 去 连接 多 个 
VLAN (包括 Untrust 区 域 、Trust 区 域 、 用 于 同步 的 VLAN 等 ) 的 。 

用 于 同步 的 通信 流量 在 通过 链 路 聚合 形成 的 逻辑 链 路 中 通行 。 由 于 通常 服 
务 和 同步 处 理 的 通信 流量 同时 并 存 ， 所 以 为 了 安全 起 见 ， 有 些 情况 下 我 们 
可 以 用 QoS 去 控制 优先 顺序 ， 或 者 干脆 另外 开设 一 条 同步 处 理 专用 的 链 
路 ， 以 尽量 减少 同步 处 理 给 通常 服务 造成 的 不 良 影响 。 


。 负载 均衡 器 


我 们 可 以 认为 负载 均衡 器 的 设计 和 防火 墙 基本 上 是 一 样 的 ， 同 样 也 是 由 活 
动机 和 备用 机 构成 ， 也 是 通过 链 路 诊 合 连接 核心 L3 交换 机 连接 ， 以 便 同 时 
实现 见 余 备份 和 带宽 扩展 。 


用 于 同步 的 通信 流量 也 是 一 样 。 用 于 同步 的 通信 流量 在 通过 链 路 聚合 形成 
的 逻辑 链 路 中 通行 。 由 于 通常 服务 和 同步 处 理 的 通信 流量 同时 并 存 ， 所 以 
为 了 安全 起 见 ， 有 些 情 况 下 我 们 可 以 用 QoS 去 控制 优先 顺序 ， 或 者 干脆 寻 
外 开设 一 条 该 VLAN 专用 的 链 路 ， 以 尽量 减少 同步 处 理 给 服务 造成 的 不 民 


影响 。 
服务 器 
在 串联 式 结构 中 有 专门 连接 服务 器 的 交换 机 ， 而 在 单 路 并 联 式 结构 中 起 着 


同样 作用 的 则 是 核心 交换 机 。 壕 庸 多 襄 ， 每 台 服 务 名 都 必须 分 别 连接 不 同 
的 核心 交换 机 ， 以 应 对 茶 台 核心 交换 机 发 生 故 障 的 情况 。 


单 路 并 联 式 结构 之 类 型 2 

我 们 再 来 看 第 二 种 类 型 。 这 种 类 型 是 在 第 一 种 单 路 并 联 式 结构 类 型 中 加 入 了 记 
片 服务 器 、 虚 拟 化 、StackWise 技术 和 VSS、 数 据 安 全 区 域 划分 这 四 个 要 素 (如 
图 4.2.4) 。 这 里 我 们 只 选择 性 地 介绍 类 型 2 和 类 型 1 不 一 样 的 地 方 。 


。 核心 交换 机 


核心 交换 机 利用 VSS 实现 元 余 备 份 。 从 物理 的 角度 上 看 有 两 台 交 换 机 ， 但 
从 逻辑 的 角度 上 看 只 有 一 台 ， 管 理 因 此 得 以 人 简化。 就 作用 而 言 它 和 类 型 1 
并 无 太 大 差别 ， 结 构 类 型 和 类 型 1 一样， 也 是 核心 交换 机 扮演 多 重 角 色 ， 
几乎 决定 了 这 种 结构 的 一 切 。 


交换 机 模块 


交换 机 模块 通过 StackWise 技术 实现 见 余 备份 。 至 于 核心 交换 机 的 连接 ， 则 
古 形 成 链 路 聚合 之 后 分 别 从 不 同 的 物理 交换 机 获取 物理 链 路 。 交 换 机 模块 
i 
互相 影响 。 


刀片 服务 器 和 虚拟 化 处 理 


刀片 服务 右 按 用 途 对 应 交换 机 模块 ， 并 与 交换 机 模块 是 目 动 进行 物理 连 线 
的 ， 每 个 用 途 对 应 两 台 交 换 机 模块 ， 总 共有 六 台 交 换 机 模块 。 利 用 连接 好 
的 网 卡 将 虚拟 交换 机 组 合 起 来 ， 虚 拟 交 换 机 组 合 的 负载 均衡 多 采用 基于 端 
口 ID 的 方式 或 明确 的 故障 转移 方式 ， 故 障 检测 则 多 采用 链 路 状态 检测 方 
式 。 虚 拟 化 处 理 能 够 简单 快速 地 添加 服务 器 ， 这 使 得 服务 器 容易 在 不 知 不 
觉 中 越 来 越 多 ， 所 以 我 们 必须 巧妙 地 将 负载 均衡 分 配 出 去 。 
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图 4.2.4 在 单 路 并 联 式 结构 类 型 2 中 使 用 的 元 余 技 术 


4.2.2 ” 理 清 通 信 流 


笔者 不 止 一 次 地 被 系统 管理 人 员 问 到 过 “说 了 那么 多 ， 通信 到 底 会 通过 哪里 ? 义 
是 怎样 流动 的 呢 ? ”这 个 问题 将 在 下 文中 给 出 回答 。 不 过 这 里 介绍 的 通信 流 只 是 
部 分 示例 ， 实 际 情 况 不 同 ， 物 理 结构 和 逻辑 结构 也 会 有 所 差异 。 大 家 应 做 好 充 
分 的 故障 测试 ， 便 于 自己 理解 通信 流 的 知识 。 


服务 器 端的 通信 流 分 为 串联 式 结构 和 单 路 并 联 式 结构 两 种 ， 二 者 之 间 的 区 别 很 
Pe 比较 容易 理解 一 些 。 下 面 ， 本 书 将 均 以 前 面 提 到 的 结构 类 型 1 
列 来 一 一 也 


4.2.2.1 ”串联 式 结构 


串联 式 结构 比较 容易 预测 到 发 生 故 障 的 路 径 ， 故 障 排除 也 比较 简单 。 活 动 路 径 
的 某 处 一 旦 断 开 就 会 立刻 切换 到 备用 路 径 ， 工 作 原 理 十 分 简单 易 懂 。 那 么 ， 下 
面 我 们 就 从 ISP 的 角度 出 发 ， 逐 一 看 看 当 活 动 路 径 发 生 故 障 时 ， 该 结构 中 的 各 
个 组 成 要 素 是 如 何 处 理 的 。 


。 正常 情况 下 的 路 径 


我 们 先 来 看 正常 情况 下 的 通信 路 径 。 在 正常 情况 下 通信 流量 一 定 是 集中 在 
Fi 


负载 均衡 器 


(2) 


器 盖 厂 qe 从 
器 冯 硼 qeAN 


图 4.2.5 正常 情况 下 通信 只 会 流 经 活动 机 
。 线 路 故障 


当 ISP 线路 发 生 故障 时 ，eBGP 对 等 体会 因为 收 不 到 KEEPALIVE 消息 而 中 
断 ， 于 是 ISP 网 和 CE 交换 机 重新 进行 BGP 计算 ， 切换 通 往 分 配 IP 地 址 的 
路 径 。 等 计算 告 一 段落 之 后 ， 通 往 ISP ( 通 往 互联 网 ) 的 路 径 就 会 切换 成 经 
过 配置 在 同一 列 的 CE 交换 机 (下 图 中 的 CE 交换 机 @) 的 路 径 。 
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图 4.2.6 ”线路 发 生 故 障 时 会 通过 BGP 切换 路 径 
。 CE 交换 机 故障 


当 CE 交换 机 发 生 故 障 时 ，eBGP 对 等 体会 因为 PE 路 由 器 收 不 到 
KEEPALIVE 消息 而 中 断 ， 于 是 ISP 网 和 CE 交换 机 重新 进行 BGP 计算 ， 切 


换 通 往 分 配 IP 地 址 的 路 径 。 此 外 ， 由 于 备用 CE 交换 机 内 部 收 不 到 Hello 
报 文 ，FHRP 会 执行 故障 转移 。 


在 这 种 结构 中 ， 防 火 墙 同样 也 会 执行 故障 转移 。 防 火 墙 一 直 监 控 目 身 的 链 
路 状态 ， 并 将 其 作为 故障 转移 的 触发 右 。CE 交换 机 发 生 故 障 时 ，Untrust 区 
域 的 链 路 也 会 断 掉 ， 因 此 防火 墙 也 会 随 之 执行 故障 转移 。 


通 往 分 配 JP 的 路 径 
OT 被 切换 ， 人 人 } 


~ 路 击 表 切 所 


" 
EEEEEEE TE TEIEEIETTEETEIIETTTETEEEEEEEET 


EE 


EEEEEEEEEEEEEEEEEEEEEEEEEE EE 


ELEEEELE) EE ELLIEEEIEEEEELLEEEEEEELEELEEEEE ALLEELELEEE 


OCS A EE 


D 中 
WE EE odo We Wen 3 -pone 


器 答对 9e 从 
器 妾 独 Ha 
矣 等 刹 dd 
器 委 蓝 dd 


间 
EEETETTITETEITETTE 


图 4.2.7 CE 交换 机 发 生 故 障 时 ，CE 交换 机 和 防火 墙 都 会 执行 故障 转移 
。 CE 交换 机 内 部 链 路 (防火 墙 的 Untrust 区 域 链 路 ) 故障 


在 这 种 结构 中 ， 当 CE 交换 机 内 部 链 路 发 生 故 障 时 ， 防 火 墙 的 Untrust 区 域 
链 路 也 会 随 之 中 断 。 防 火 墙 检测 到 链 路 中 断后 立即 执行 故障 转移 ， 而 在 CE 
交换 机 内 部 运作 的 FHRP 则 维持 原状 ， 并 不 执行 故障 转移 。 
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图 4.2.8 CE 交换 机 内 部 链 路 发 生 故障 时 ， 只 有 防火 墙 会 执行 故障 转移 


。 防火 墙 故障 


当 防火 墙 发 生 故 障 时 ， 防 火 墙 会 检测 到 自身 的 故障 并 立即 执行 故障 转移 。 
在 这 种 结构 中 ，CE 交换 机 的 内 部 链 路 也 会 因 故 障 而 中 断 ， 但 FHRP 的 
Hello 报 文 依然 能 在 CE 交换 机 之 间 的 逻辑 链 路 上 正常 交换 ， 因 此 FHRP 并 
不 需要 执行 故障 转移 。 


图 4.2.9 防火墙 发 生 故 障 时 ， 只 有 防火 墙 会 执行 故障 转移 
。 防火墙 的 Trust 区 域 链 路 故障 


当 防火 墙 的 Trust 区 域 链 路 发 生 故 障 时 ， 防 火 墙 会 检测 到 该 故障 并 立即 执行 
故障 转移 ， 其 他 部 分 则 维持 原状 ， 不 会 执行 故障 转移 。 与 此 同时 ，L2 交换 
机 会 生成 一 条 寺 回 路 径 ， 以 避免 防火 墙 的 故障 转移 给 负载 均衡 器 造成 不 民 


影响 。 
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nl 防火 墙 的 Trust 区 域 链 路 发 生 故 障 时 ， 只 有 防火 墙 会 执行 故障 转 


。 工 2 交换 机 故障 (位 于 防火 墙 和 负载 均衡 器 之 间 ) 


当 L2 交换 机 发 生 故 障 时 ， 防 火 墙 和 负载 均衡 器 都 会 执行 故障 转移 。 防 火 墙 
通过 该 故障 检测 到 Trust 区 域 链 路 的 中 断 ， 于 是 执行 故障 转移 。 


负载 均衡 器 也 会 执行 故障 转移 。 人 负载 均衡 器 和 防火 墙 一 样 ， 一 直 在 监控 上 
喘 的 链 路 状态 ， 并 将 其 作为 故障 转移 的 触发 器 。L2 交换 机 发 生 故 障 时 ， 负 
载 均衡 器 的 外 部 链 路 也 会 断 掉 ， 因 此 负载 均衡 器 也 会 随 之 执行 故障 转移 。 
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图 4.2.11 L2 交换 机 发 生 故 障 时 ， 防 火 墙 和 负载 均衡 器 都 会 执行 故障 转移 
负载 均衡 器 的 外 部 链 路 故障 


当 人 负载 均衡 器 的 外 部 链 路 发 生 故 障 时 ， 备 用 负载 均衡 器 会 检测 到 该 故障 并 

立即 执行 故障 转移 ， 其 他 部 分 则 维持 原状 ， 不 会 执行 故障 转移 。 与 此 同 

时 ， EE 0 以 避免 负载 均衡 器 的 故障 转移 给 防火 
则 造 影响 
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S 2 负载 均衡 器 的 外 部 链 路 发 生 故 障 时 ， 只 有 负载 均衡 器 会 执行 故障 


。 负载 均衡 器 故障 


发 生 这 种 故障 时 ， 对 应 机 制 和 负载 均衡 器 的 外 部 链 路 发 生 故 障 时 的 机 制 基 
本 上 是 一 样 的 。 当 人 负载 均衡 器 发 生 夏 障 时 ， 备 用 负载 均衡 器 会 检测 到 该 故 
障 并 立即 执行 故障 转移 ， 其 他 部 分 则 维持 原状 ， 不 会 执行 故障 转移 。 与 此 
同时 ，L2 交换 机 会 生成 一 条 迁 回路 径 ， 以 避免 负载 均衡 器 的 故障 转移 给 防 
火 墙 或 服务 器 造成 不 恨 影响 。 
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图 4.2.13 ”负载 均衡 器 发 生 故障 时 ， 只 有 负载 均衡 器 会 执行 故障 转移 
负载 均衡 器 的 内 部 链 路 故障 


发 生 这 种 故障 时 ， 对 应 机 制 也 和 负载 均衡 右 的 外 部 链 路 发 生 故 障 时 的 机 制 
基本 上 是 一 样 的 。 当 负载 均衡 器 的 内 部 链 路 发 生 故 障 时 ， 备 用 负载 均衡 器 
会 检测 到 该 故障 并 立即 执行 故障 转移 ， 其 他 部 分 则 维持 原状 ， 不 会 执行 故 
障 转移 。 与 此 同时 ，L2 交换 机 会 生成 一 条 迁 回路 径 ， 以 避免 负载 均衡 器 的 
故障 转移 给 防火 墙 或 服务 器 造成 不 民 影 响 。 
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二 负载 均衡 器 的 内 部 链 路 发 生 故 障 时 ， 只 有 负载 均衡 器 会 执行 故障 


。 内 部 的 工 2 交换 机 故障 (位 于 负载 均衡 器 和 服务 器 之 间 ) 


当 内 部 的 L2 交换 机 发 生 故 障 时 ， 不 仅 负载 均衡 器 的 内 部 链 路 会 中 断 ， 连 服 
务 器 的 链 路 也 会 中 断 ， 因 此 负载 均衡 器 和 网 卡 组 合 都 会 执行 故障 转移 。 与 
此 同时 ，L2 交换 机 会 生成 一 条 迁 回 路 径 ， 以 避免 负载 均衡 器 的 故障 转移 给 
防火 墙 带 来 不 良 影响 。 
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图 4.2.15 ”内 部 的 工 2 交换 机 发 生 故 障 时 ， 负 载 均衡 器 和 网 卡 组 合 都 会 执行 
故障 转移 


服务 器 的 链 路 故障 和 网 卡 故 障 

当 服 务 器 的 链 路 或 网 卡 发 生 故 障 时 ， 只 有 网 卡 组 合 会 执行 故障 转移 。 与 此 
同时 ，L2 交换 机 会 生成 一 条 迁 回路 径 ， 以 避免 网 卡 组 合 的 故障 转移 给 负载 
均衡 器 造成 不 良 影响 。 
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图 4.2.16 ”服务 器 的 链 路 或 网 卡 发 生 故 障 时 ， 只 有 网 卡 组 合 会 执行 故障 转移 


服务 器 的 服务 故障 

当 服务 器 的 服务 发 生 故 障 时 ， 人 负载 均衡 器 的 健康 检查 会 失败 ， 于 是 该 服务 
器 被 排除 到 负载 均衡 服务 器 范围 之 外 ， 这 样 连 接 就 不 会 被 分 配 到 已 发 生 服 
务 故 障 的 服务 器 上 。 其 他 部 分 没有 任何 变化 。 
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图 4.2.17 ”服务 器 的 服务 发 生 故 障 时 ， 该 服务 器 会 被 排除 到 负载 均衡 服务 器 
范围 之 外 


非 活动 路 径 的 故障 


如 果 是 非 活动 路 径 发 生 故 障 ， 那 么 无 论 故障 发 生 在 什么 环节 都 不 会 执行 故 
障 转移 ， 也 不 存在 通信 中 断 时 间 。 不 过 从 笔者 的 经 验 来 说 ， 偶 尔 也 会 有 这 
样 的 情况 : 因 某 些 网 络 设备 本 身 的 设计 漏洞 等 原因 导致 其 发 送 了 不 必要 的 
GARP， 结 果 离奇 宕 机 。 为 了 避免 类 似 情 况 的 发 生 ， 我 们 应 提前 做 好 充分 的 
故障 测试 ， 确 保 各 设备 都 不 会 受到 不 展 影响 。 


4.2.2.2 单 路 并 联 式 结构 


在 单 路 并 联 式 结构 中 ， 核 心 L3 区 换 机 扮演 着 多 重 角色 ， 通 信 流 似乎 也 比 串 


联 式 结构 要 复杂 得 多 。 不 过 实际 上 它们 的 逻辑 原理 是 一 样 的 ， 所 以 用 不 着 
有 太 多 的 思想 负担 。 活 动 路 径 的 某 处 一 旦 发 生 故 障 ， 就 应 切换 成 备用 路 径 
一 一 我 们 应 该 本 着 这 个 原则 ， 从 ISP 的 角度 出 发 逐一 排除 故障 。 
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正常 情况 下 的 路 径 


我 们 移 来 看 正常 情况 下 的 通信 路 径 。 在 正常 情况 下 ， 通 信 流 量 一 定 是 
集中 在 活动 机 上 的 ， 这 一 点 前 面 已 经 讲 过 了 。 这 时 候 通 信 会 流 经 下 图 
中 左 侧 的 设备 。 和 串联 式 结构 不 同 的 是 ， 单 路 并 联 式 结构 的 通信 会 多 
次 经 过 核心 交换 机 ， 这 是 因为 所 有 交换 机 (包括 CE 交换 机 和 L2 交换 
机 等 ) 的 任务 都 要 由 核心 交换 机 去 完成 的 缘故 。 至 于 逻辑 路 径 ， 单 路 
并 联 式 结构 和 串联 式 结构 都 是 一 样 的 ， 二 者 只 是 物理 路 径 不 同 而 已 。 
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图 4.2.18 ”正常 情况 下 ， 通 信 只 会 流 经 活动 机 
线路 故障 


当 ISP 线路 发 生 故 障 时 ，eBGP 对 等 体会 因为 收 不 到 KEEPALIVE 消息 
而 中 断 ， 于 是 ISP 网 和 核心 交换 机 重新 进行 BGP 计算 ， 切 换 通 往 分 配 
IP 地 址 的 路 径 。 等 计算 告 一 段落 之 后 ， 通 往 ISP ( 通 往 互 联网 ) 的 路 径 
0 

、 Te 


图 4.2.19 ”线路 发 生 故 障 时 会 通过 BGP 切换 路 径 


。 防火墙 故障 


当 防火 墙 发 生 故 障 时 ， 只 有 防火 墙 会 立即 执行 故障 转移 ， 其 他 部 分 则 

维持 原状 ， 不 会 执行 故障 转移 。 前 面 已 经 提 到 过 ， 在 串联 式 结构 中 会 

由 工 2 交换 机 生成 一 条 迁 回 路 径 ， 在 单 路 并 联 式 结构 中 这 一 角色 则 由 核 

因此 通信 会 多 次 经 过 核心 交换 机 ， 然 后 才 最 终 抵 达 
条 器 。 
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图 4.2.20 防火 墙 发 生 故 障 时 ， 只 有 防火 墙 会 执行 故障 转移 
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负载 均衡 器 故障 


当 负 载 均衡 器 发 生 故 障 时 ， 备 用 负载 均衡 器 会 检测 到 该 故障 并 立即 执 

行 故障 转移 ， 其 他 部 分 则 维持 原状 ， 不 会 执行 故障 转移 。 这 时 候 通 信 

会 依次 经 过 核心 交换 机 忆 、 防火墙 9)、 核 心 交 换 机 忆 、 核 心 区 换 机 (2)， 

新 升级 的 活动 负载 均衡 器 2、 核 心 交 换 机 (2 和 核心 交换 机 人 ， 像 这 样 多 
次 经 过 核心 交换 机 之 后 ， 才 最 终 抵达 服务 右 。 
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图 4.2.21 负载 均衡 器 发 生 故 障 时 ， 只 有 负载 均衡 器 会 执行 故障 转移 
核心 交换 机 故障 


在 单 路 并 联 式 结构 中 ， 核 心 灾 换 机 故障 的 影响 范围 是 非常 之 大 的 ， 在 
人 了 解 


首先 ， 我 们 来 看 核心 交换 机 。 在 外 部 ， 由 于 eBGP 对 等 体 中 断 ， 核 心 
交换 机 会 进行 包括 ISP 网 在 内 的 路 径 重 新 计算 ， 在 内 部 ， 由 于 备用 机 
收 不 到 FHRP 报 文 ， 核 心 交 换 机 会 执行 故障 转移 。 


接 下 来 ， 我 们 再 看 防火 墙 和 负载 均衡 器 。 原 本 是 活动 防火 墙 的 防火 墙 
中 受 到 扳 立 ， 防 火 墙 C) 则 升级 为 新 的 活动 防火 墙 。 负 载 均衡 器 方面 也 会 
发 生 同 样 的 改变 ， 原 本 是 活动 负载 均衡 器 的 负载 均衡 器 (D 受 到 孤立 ， 
负载 均衡 器 则 升级 为 新 的 活动 负载 均衡 器 。 


最 后 ， 我 们 来 看 服务 器 网 卡 。 服 务 器 链 路 因 核 心 交 换 机 的 故障 而 中 
断 ， 网 卡 组 合 检测 到 该 情况 之 后 便 会 执行 故障 转移 。 
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图 4.2.22 负载 均衡 器 发 生 故 障 时 ， 所 有 环节 都 会 执行 故障 转移 

。 服务 器 的 链 路 故障 和 网 卡 故障 
当 服 务 器 的 链 路 或 网 卡 发 生 故 障 时 ， 只 有 网 卡 组 合 会 执行 故障 转移 。 
这 时 候 ， 通 信 会 依次 经 过 核心 交换 机 (D、 防 火 墙 D、 核 心 交换 机 (D、 负 


载 均 衡器 Q、 核心 交换 机 GD 和 核心 交换 机 2， 像 这 样 多 次 经 过 核心 交换 
机 之 后 ， 才 最 终 抵 达 服 务 器 。 
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服务 器 的 链 路 或 网 卡 发 生 故 障 时 ， 只 有 网 卡 组 合 会 执行 故障 


。 服务器 的 服务 故障 


这 里 和 单 路 并 联 式 结构 一 样 ， 当 服务 器 的 服务 发 生 故 障 时 ， 负 载 均 稀 

器 的 健康 检查 会 失败 ， 于 是 该 服务 器 被 排除 到 负载 均衡 的 对 象 之 外 ， 

记 伴 连 搂 并 不 会 被 分 本 到 忆 发 生 服务 政 划 的 服务 器 上 “其 他 部 分 没有 
可 变化 。 


图 4.2.24 ”服务 器 的 服务 发 生 故 障 时 ， 该 服务 器 会 被 排除 到 负载 均衡 的 
对 象 之 外 


非 服务 器 链 路 的 链 路 故障 


服务 器 链 路 是 由 一 条 条 链 路 构成 的 ， 所 以 发 生 故 障 时 必须 通过 网 卡 组 
合 去 执行 故障 转移 。 与 此 相对 ， 其 他 链 路 (如 核心 交换 机 、 防 火 墙 、 
负载 均衡 器 这 些 连接 网 络 设备 的 链 路 ) 发 生 故 障 时 ， 由 于 它们 都 通过 
链 路 聚合 做 了 元 余 备 份 ， 所 以 无 论 哪个 环节 发 生 了 故障 都 不 会 执行 故 
障 转移 ， 路 径 也 不 会 被 切换 。 
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图 4.2.25” 非 服务 器 的 链 路 由 于 做 了 链 路 聚合 处 理 ， 路 径 不 会 改变 
非 活动 路 径 的 故障 


如 果 是 非 活动 路 径 发 生 故 障 ， 那 么 故障 无 论 是 发 生 在 什么 环节 的 都 不 
会 执行 故障 转移 ， 也 不 存在 通信 中 断 时 间 。 不 过 从 笔者 的 经 验 来 说 ， 
偶尔 也 会 有 这 样 的 情况 : 因 某 些 网 络 设备 本 身 的 设计 漏洞 等 原因 导致 
其 发 出 了 不 必要 的 GARP， 结 果 离 奇 宕 机 。 为 了 避免 类 似 情况 的 发 

生 ， 我 们 应 提前 做 好 充分 的 故障 测试 ， 确 保 各 个 设备 都 不 会 受到 不 良 


影响 。 
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第 5 章 管理 设计 


本 章 概要 


本 章 将 要 讲解 在 服务 器 端 运 行 管理 中 使 用 的 技术 及 其 设计 要 点 ， 以 及 
对 于 运行 管理 ， 我 们 应 该 提前 规定 好 的 一 些 事项 。 


关键 任务 的 服务 器 剖 经 常会 发 生 形形色色 的 问题 。 设 计 和 架构 结束 之 
后 ， 服 务 器 端 才 算 是 真正 开始 执行 它 的 使 命 。 在 长 期 使 用 的 过 程 中 ， 
设备 可 能 会 发 生 故 障 ， 线 缆 也 可 能 会 断 掉 。 对 于 这 些 不 同 种 类 的 问 

题 ， 我 们 不 仅 要 注重 发 现 和 预防 ， 还 要 能 够 在 突 发 情况 下 迅速 采取 对 
策 。 为 此 ， 我 们 必须 熟练 掌握 相关 技术 和 设备 规格 ， 设 计 出 最 符合 实 
际 情况 的 运行 管理 环境 。 


5.1 管理 技术 


管理 技术 能 够 让 网 络 更 加 顺畅 地 运行 ， 同 时 提供 相应 的 规则 帮助 我 们 管理 
好 网 络 。 网 络 设计 和 染 构 结束 之 后 ， 一 切 才 刚刚 开始 ， 对 于 将 来 可 能 发 生 
的 问题 ， 我 们 只 有 运用 多 种 管理 技术 才能 快速 高 效 地 把 它们 解决 所 。 下 
面 ， 本 书 将 从 大 量 的 管理 技术 中 选 出 比较 音 用 的 协议 ， 以 及 设计 时 必须 注 
意 的 事项 来 逐一 讲解 。 


5.1.1 用 NTP 同步 时 间 


NTP (Network Time Protocol， 网 络 时 间 协 议 ) 是 一 种 用 于 同步 设备 时 间 的 
协议 。 乍 一 听 可 能 有 人 会 想 “ 什 么 ? 同步 设备 时 间 没 什么 意义 吧 ? ” 曾 几 何 
上 时， 笔者 也 是 这 么 认为 的 。 但 后 来 ， 当 笔者 面 对 突 发 问题 冷汗 涟 涟 的 时 
候 ， 才 终于 理解 了 这 个 协议 是 多 么 重要 。 


对 于 牵涉 到 多 台 设 备 的 复杂 问题 ， 解 决 的 关键 在 于 我 们 对 该 问题 的 理解 程 
度 。 具 体 来 说 ， 就 是 能 够 理解 该 问题 随 着 时 间 的 变化 是 如 何 演变 的 ， 即 在 
不 同 的 时 刻 ( 几 点 几 分 几 秒 ) 都 发 生 了 什么 。 为 了 理 清 这 些 头 绪 ， 我 们 需 
要 正确 掌握 时 间 这 一 要 素 。 


NTP 的 工作 原理 非常 简单 


NTP 的 工作 原理 非常 简单 。 形 象 一 点 讲 ， 就 是 先 由 客户 端 发 出 一 个 “现在 几 
点 了 ? ”的 询问 (NTP Query) ， 然 后 服务 器 针对 该 询问 给 出 答复 (NTP 


Reply) 一 一 “现在 是 oo 点 oo 分 oo 秒 哦 ”。 
现在 几 点 了 ?3 
pe Er Co Query | mm 中 
一 [Eee = 
NTP 客户 端 NTP 服务 器 
现在 是 扎 口 点 DG 分 GO@ 秒 琶 | 


图 5.1.1 NTP 的 工作 原理 非常 简单 


NTP 利用 一 个 叫 作 “ 层 ” (Stratuom) 的 概念 及 其 数值 形成 阶梯 式 结构 。 层 值 
表示 从 顶层 的 时 间 源 到 本 层 有 多 少 NTP 跳 。 顶层 的 时 间 源 是 从 原子 钟 或 
GPS 时 钟 等 获取 高 精度 的 时 间 信 息 ， 能 够 保证 时 间 的 正确 性 ， 层 值 为 0。 从 


顶层 往 下 ， 每 经 过 一 台 NTP 服务 器 ， 层 值 就 会 加 一 。 层 值 不 为 0 的 NTP 服 
务 器 对 与 上 一 层 的 NTP 服务 器 来 说 是 NTP 客户 端 ， 对 下 一 层 的 NTP 客户 
端 来 说 则 是 NTP 服务 器 。 此 外 ， 如 果 无 法 和 上 一 层 的 NTP 服务 器 同步 时 
间 ， 就 绝 不 会 将 时 间 发 布 给 下 一 层 。 


时 间 源 。 通过 不 子 锅 或 GPS 时 
晨 值 0 名 等 获取 高 柄 度 的 时 间 信 息 


NTP 服务 器 
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图 5.1.2 NTP 是 通过 “ 层 ” 形 成 的 阶梯 式 结构 
使 用 UDP 单 播 


NTP 在 任何 通信 类 型 中 都 能 够 运作 ， 包 括 单 播 、 多 播 和 广播 ， 不 过 用 于 服 
务 器 系统 的 NTP 仅 限 单 播 。 本 书 将 仅 介 绍 单 播 的 NTP。 


o NIP Query 


前 面 已 经 讲 过 , “现在 几 点 了 ? ”这 个 询问 就 是 NTP Query。 在 NTP 
Query 报 文 中 ， 源 IP 地 址 为 需要 同步 时 间 的 设备 的 IP 地 址 ， 目 的 人 P 
地 址 则 是 NTP 服务 器 的 卫 地址。 采用 的 协议 为 追求 实时 性 的 UDP 。 
此 外 ， 源 端口 号 和 目 I 123。 通 过 标志 字段 中 的 模式 数值 可 
以 识别 该 报 文 是 Query 还 是 Reply。 如 果 是 Query 则 数值 为 3 


(client) 


五 


3 Flags: Oxdb 
,= ep Indecstor: UnNnOWPn (ciock unsynchronized) (3) 
04 4... = Verson number: NTP Verson 3 (3) 
Peer Ciock Stratum;: Unspecihed or mveld (0) 
Peer Poliing intervall 6 (64 sec) 
Peer Clock Precision: 0.000004 sec 
Root Deiay; 0.0000 sse 
Root Dispermon: 1,0000 sec 
Raference ID; NUEL 
Reference Timestomp:; Jon 1, 1970 00:00;00,000000000 UTC 
Origmn Timestamp: en 1, i970 00:00;00,00000000D UTC 
Recemve Timestomp: ]an 1, 1970 00:00:00.000000000 UTC 
Transmit Timestamp: Mar 1, 2002 00:02:31.700391000 UTC 
Kay ID: 000003¢8 
Message Authentication Code: bsbli985b9e239acdb0fe542C73089625C 


0018b90000¢01 18b900000800450 
DOE0 O00 MM ON OO FFI 0 bd 020202 0 ne 06 


poo0 0 nl 00 010000 F0000 00000000009 


图 5.1.3 通过 UDP 单 播发 送 NTP Query 
o NTP Reply 


前 面 已 经 讲 过 , “现在 是 oo 点 oo 分 oo 秒 哦 "这 个 答复 就 是 NTP Reply。 
在 NTP Reply 报 文中 ， 源 卫 地 址 为 NTP 服务 器 的 IP 地址 ,日 的 全 地 
址 则 是 需要 同步 时 间 的 设备 的 IP 地 址 。 和 NTP Query 一 样 ， 采 用 的 协 
议 也 是 追求 实时 性 的 UDP， 源 端口 号 和 目的 端口 号 也 都 是 123。 通 过 
标志 字段 中 的 模式 数值 可 识别 该 报 文 是 Query 还 是 Reply。 如 果 是 
Reply 则 数值 为 4 ( server) 。 模 式 后 面 紧 跟 着 客户 端 生成 正确 时 间 所 
需要 的 信息 ， 包 括 层 、 时 间 信 息 和 延迟 ， 等 等 。 


同步 的 时 间 间 隔 会 发 生 改变 


使 用 的 NTP 应 用 程序 不 同 ， 对 NTP 服务 器 执行 同步 处 理 的 时 间 间 隔 就 不 
同 。 我 们 以 Linux 中 常用 的 ntpd 为 例 来 看 一 下 。ntpd 的 同步 时 间 间 隔 在 尚 
不 稳定 的 时 候 为 64 秒 ， 随 着 稳定 程度 的 提高 会 逐渐 变 成 128 秒 、256 

秒 ...... 像 这 样 成 倍 地 增加 ， 最 长 可 达 1024 秒 。 当 然 ， 这 些 时 间 间 隔 的 设置 
是 可 以 修改 的 。 


8:b9:00:00 (cc:O01:18:b9:00:00) 


ET 


i Te Protocol Ce 3; ee 
E Flogs; Oxic 
00,, .…- = Leap Indwator: np warning (0) 
DEL 二 Version Number: NTP Version 3 (3) 
| 


Peer Polling Intervel: 6 (64 sec) 

Paer Clock Precision: 0.000004 sec 

Root Delay: 0.0000 sec 

Reot DispersioNn: 0.0000 sec 

Reference ID: 127,127,7.} 

Reference Timestamp: Mar 1, 2002 00:;02:31.560032000 UTC 
Origin Timastomp: Mar 1, 2002 00:02;31.700391000 UTC 
Receve Timestamp: Mar 1, 200200:02:42.388198000 UTC 
Trensnvit Timestamp: Mar 1, 2002 00:;02:42,388350000 UTC 
Kay iD: 00000000 

Messass Authentication Code: 0970258025733b9B1c2506bcodese722 
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0010 pt- rl 
DO20 ups hd 

on D0 0 0 O07F 7 07 01 tO 29 4397 伯 S6 


时 间 轴 


NR ih 


64 秒 ”128 秒 256 和 和 512 各 
图 5.1.5 同步 的 时 间 间 隔 会 逐渐 变 长 
两 种 运行 模式 


NTP 客户 端 有 两 种 运行 模式 ， 分 别 叫 作 step 模式 和 slew 模式 。 粗 略 地 讲 ， 
二 者 的 区 别 在 于 它们 对 服务 器 发 布 的 时 间 是 如 何 校 准 的 。step 模式 的 校准 是 
一 气 呵 成 地 完成 的 ，slew 模式 的 校准 则 是 慢 条 斯 理 地 实现 的 。 采 用 哪 一 种 
模式 取决 于 NTP 客户 端 使 用 的 OS。 例 如 ，ntpd 默认 的 运行 模式 就 是 当 
NTP 客户 端的 时 间 和 NTP 服务 器 发 布 的 时 间 相差 超过 128 毫秒 时 采用 step 
模式 ， 小 于 128 毫秒 时 则 采用 slew 模式 。 


o step 模式 


[© 


在 step 模式 中 ， 无 论 NTP 客户 端的 时 间 和 NTP 服务 器 发 布 的 时 间 相 
差 多少， 校准 的 工作 都 是 一 气 呵 成 的 。 就 算 NTP 客户 端的 计时 又 往 前 
走 了 二 高 ， 也 会 被 滑 回 成 NTP 服务 器 发布 的 轩 间 。 交换 机 、 路 由 郑 等 


并 不 特别 注重 时 间 信息 的 设备 一 般 会 采用 这 种 模式 。 


NTP 服务 器 NTP 
发 布 的 时 间 客户 端的 时 间 


00 :00 : 00 00:01:00 


时 间 轴 


图 5.1.6 step 模式 一 气 呵 成 地 完成 调 对 

slew 模式 

在 slew 模式 中 ， 校 准 是 慢 条 斯 理 地 完成 的 ， 每 秒 钟 只 校正 0.5 毫秒 ， 
所 以 就 算 NTP 客户 端的 计时 又 往 前 走 了 一 点 ， 也 不 会 被 马上 调 回 到 
NTP 服务 器 发 布 的 时 间 。 由 于 校正 的 时 间 比 计时 往 前 走 的 时 间 要 短 ， 
所 以 校准 的 进度 非常 缓慢 。 

在 DB 应 用 程序 、 日 志 应 用 程序 等 时 间 信 息 非常 重要 的 应 用 程序 中 ， 


采用 step 模式 一 呵 成 地 完成 校准 可 能 会 引发 故障 ， 因 此 人 们 一 般 会 
在 安装 应 用 程序 之 前 先 用 step 模式 校准 ， 之 后 如 果 出 现时 间 差异 就 改 


用 slew 模式 去 校准 。 
客户 端的 时 间 


00 :01:00 


只 人 NTP ee 
度 调 得 稍微 慢 一 点 点 


图 5.1.7 slew 模式 慢 条 斯 理 地 实现 校准 


要 耐心 等 待 时 间 校 准 结束 


在 实际 染 构 服务 絮 系 统 的 过 程 中 ， 由 于 各 台 设 备 的 时 间 往 往 五 伦 八 | ]、 各 

不 相同 ， 很 容易 让 我 们 烦躁 不 安 。 有 的 设备 有 强制 发 送 NTP Query 的 命 

令 ， 这 样 还 好 说 。 但 如 果 没 有 类 似 的 命令 ， 那 么 该 设备 同步 时 间 的 作业 就 

会 很 费 工 夫 。 对 于 这 种 情况 ， 我 们 一 定 要 有 足够 的 耐心 才 行 。 不 过 ， 如 末 

I 
\ 谷 o 


将 监控 服务 器 用 作 NTP 服务 器 ， 同 步 效 果 会 更 好 


利用 NTP 同步 时 间 时 ， 最 重要 的 事项 就 是 保持 整个 系统 的 统一 性 。 系 统 
的 各 台 设 备 都 要 和 分 散在 互联 网 上 的 NTP 服务 器 取得 时 间 上 的 同步 ， 然 
而 ， 如 果 这 些 NTP 服务 器 的 时 间 本 身 


就 不 统一 ， 那 么 即使 各 台 设 备 完成 了 同步 也 是 毫 无 意义 的 。 而 且 ， 还 会 浪 
费 互 联网 的 通信 流量 。 所 以 ， 我 们 应 在 系统 内 只 选择 一 两 台 NTP 服务 句 ， 
然后 执行 时 间 同 步 作 业 ， 这 样 就 能 够 保证 整个 系统 的 统一 性 ， 效 率 也 会 更 


局 


证 


那么 ， 我 们 应 该 选择 哪 一 台 或 两 台 ) 服务 器 ， 让 其 担任 NTP 服务 器 这 一 
角色 呢 ? 这 是 个 经 常会 被 问 到 的 问题 。 当 然 ， 我 们 也 可 以 把 NTP 服务 器 完 
全 独立 出 来 。 不 过 ， 如 采 要 让 NTP 服务 和 其 他 服务 器 的 服务 共存 ， 那 么 笔 
者 建议 让 NTP 服务 器 和 监控 服务 器 共 居 一 体 。 这 是 因为 ， 时 间 信 息 在 监控 
服务 器 的 日 志 中 最 能 发 挥 作 用 ， 最 能 成 为 我 们 排除 故障 的 重要 依据 。 只 要 
0 
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图 5.1.8 ”确保 系统 内 时 间 的 一 致 性 

将 Windows 服务 器 用 作 NTP 服务 器 时 的 注意 点 

如 果 是 将 Windows 服务 器 用 作 NTP 服务 器 ， 我 们 需要 注意 一 点 。Windows 
服务 器 中 包含 一 个 叫 作 W32Time 的 时 间 站 但 是 这 
项 服务 并 不 会 对 其 他 设备 发 布 时 间 信 息 。 要 想 使 其 发 布 时 间 人 信息， 就 必须 
修改 它 的 注册 表 项 ， 详 情 情况 请 参考 以 下 网 站 。 


URL http://support.microsoft.com/kb/816042/ 


5.1.2 ”用 SNMP 检测 故障 


SNMP (Simple Network Management Protocol， 简 单 网 络 管理 协议 ) 是 一 种 

用 于 监控 网 络 设备 、 服务器 的 性 能 以 及 监控 故障 的 业内 标准 管理 协议 ， 在 

服务 器 系统 的 运行 管理 中 使 用 得 非常 广泛 。 在 服务 器 系统 中 ， 任 何故 障 出 

现 之 前 都 是 会 有 蛛丝马迹 的 ， 抓 住 这 些 线索 极其 重要 。 所 以 ， 我 们 应 坚持 

0 设备 的 各 种 信息 ， 包 括 CPU 使 用 率 、 内 存 占用 率 、 通 信 流 
、 数据 包 数 量 等 ， 尽 早 检测 出 故障 的 苗头 。 


5.1.2.1 通过 SNMP 管理 器 和 SNMP 代理 交换 信息 


SNMP 由 两 个 要 素 构 成 ,分 别 是 身 为 管理 方 的 SNMP 管理 器 和 被 管理 的 
SNMP 代理 。 在 这 二 者 之 间 交 换 着 好 几 种 消息 组 合 ， 前 者 通过 这 些 消 息 组 
合 就 能 够 掌握 后 者 当前 的 状态 。 


SNMP 管理 器 是 负责 收集 SNMP 代理 的 管理 信息 并 对 其 进行 监控 的 应 用 程 
序 。 比 较 知 名 的 有 MRTG (Multi Router Traffic Grapher， 多 路 由 器 流量 图 示 
器 ) 、 Open View Network Node Manager (OpenView 网 络 节 点 管理 器 ) 和 
TWSNMP 管理 器 等。 无 论 哪 一 种 应 用 程序 都 能 对 收集 来 的 信息 进行 加 工 
并 基于 Web GUI 实现 可 视 化 让 用 户 对 信息 一 目 了 然 。 


1 由 Twise Labo. 公司 的 山居 正 幸 先生 发 的 一 款 SNMP 管理 器 。 详 细 情 况 可 参考 
| http: //www.twise.co.jp/twsnmp.html 。 一 一 译 者 注 


SNMP 代理 则 是 接受 SNMP 管理 器 发 出 的 要 求 并 将 故障 通知 给 对 方 的 程 
序 。 绝 大 部 了 分 的 网 络 设备 和 服务 器 中 都 装 有 SNMP 代理 。 -在 SNMP 代理 中 
有 一 个 叫 作 MIB (Management Information Base， 管 理 信息 库 ) 的 树 状 数据 
库 ， 该 数据 库 中 保存 着 通过 OID (Object Identifier， 对 象 标 只 符 ) 数值 识别 
出 来 的 管理 信息 以 及 与 这 些 信息 相关 的 数值 。SNMP 管理 器 发 来 的 要 求 中 
束 包 括 OID 值 ，SNMP 代理 者 根据 该 值 返回 相关 值 ， 而 当 发 现 OID 值 有 变 
上 时， 就 会 通知 SNMP 管理 器 发 生 了 故障 。 


MIB 中 保存 着 将 收 到 的 信息 进行 
管理 信息 吉 王 以 实现 可 视 化 


SNMP 代理 


图 5.1.9 SNMP 管理 器 对 SNMP 代理 进行 管理 
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MIB 为 笠 状 结构 
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twise OBIECT-TYPE 
— FROM TWPROBE-SNORT -MIB, TYPROBE-WRMON-MID, TWPROBESWLANMON SHES, TWHWMON-MIGE 
“= {ls0(1) org(3) dod(6) ntemet{1) private(d enterprises(!1} 17861} 


ed MIB 为 树 状 结构 (图 为 在 TWSNMP 管理 器 中 看 到 的 MIB 信 


5.1.2.2 ”熟练 掌握 三 种 运作 模式 


SNMP 采用 UDP， 工 作 原 理 非 常 简 单 易 懂 。 将 GetRequest、 
GetNextRequest、SetRequest、GetResponse 和 Trap 这 五 种 消息 进行 组 合 ， 
然后 通过 SNMP Get、SNMP Set 和 SNMP Trap 这 三 种 运作 模式 实现 沟通 。 
各 消息 之 间 均 以 Community 名 为 认证 口令 ， 口令 通过 则 通信 成 立 。 下 面 我 
们 来 分 别 看 看 这 三 种 类 型 是 如 何 运 作 的 。 


o SNMP Get 


SNMP Get 是 获取 设备 信息 的 运作 模式 。 形 象 地 说 就 相当 于 SNMP 管 
理 器 提出 “请 把 oo 的 信息 给 我 ! ”的 请 求 ，SNMP 代理 则 给 出 “这 个 信息 
的 内 容 是 oo 哦 ! ”的 回应 ， 过 程 并 不 复杂 。 


请 把 这 个 OID 
的 信 运 给 我 
那个 OID 的 值 
是 OO 二 | tener | ethenest | 
GetResponse 号 人 
SNMP 代理 僵 | saveopenes | GetNextRequest 
SNMP 管理 器 
OID 的 值 返 给 我 
那个 DID 的 值 
是 昌 O 


图 5.1.11 通过 SNMP Get 获取 OID 的 信息 


人 步 又 就 是 先 由 SNMP 管理 器 将 包含 着 OID 的 GetRequest 消息 发 
合 SNMP 代理 。GetRequest 消息 以 UDP 单 播 的 形式 发 出 ， 目 的 端口 号 
161。 然 后 ，SNMP 代理 将 被 指 定 的 OID 的 值 以 GetResponse 消息 的 
形式 返回 给 SNMP 管理 器 。SNMP 管理 器 需要 下 一 则 信息 时 ， 就 将 所 
需 的 OID 放 在 GetNextRequest 消息 中 再 次 发 给 SNMP 代理 ， 然 后 
SNMP 代理 者 又 返回 相应 的 GetResponse 消息 。 像 这 样 不 断 循环 往复 。 


3 dats: get-request (0) 
SS get-request 

request-id: 25184 

arror 共 atusi NoError (0) 

error-index; 0 

已 varioble*birdings: 2 tems 

B 1.3.6.1,2.1,2.2.1.7,1: Value (Nu 由 
Object Name: 1.3,6,1.2,1.2.2.1.7.1 (150,3.6.1.2,1.2.2.1.7.1) 
Value (Null) 

1,3.6.1.2.1.2.2.1,8.1: Value (Null) 
Object Nome: 1,3:6,1,2.1.2.2,1.8,1 (ls9.3,6.1,2,1,2.2,1,8,1) 
Vaiue (NU) 


局 deto: get-response (2) 
S get-response 
redquest-id: 26184 
error-status: Nogrror (0) 
errorindex: 0 
SB variable-bindings: 2 items 
BB 1.3:6,1.2,1,2,2.1.7.1: 
Object Name: 1.3.6,1.2.1,2.2.1.7,1 (830,3,6.1.2.1.2.2,1,7.1) 
Value (Integer32); 1 
BB 1.3.6.1.2.1.2.2.1.8.1: 
Object Name: 1.3.5,1.2.1.2,2.1.6.1 {is0.3.5.1.2.1.2.2.1.8.1) 
Value (INteger32): 1 


图 5.1.13 返回 的 GetResponse 消息 包含 了 被 指定 的 OID 的 值 


SNMP Set 


SNMP Set 是 更 新 设备 信息 的 运作 模式 。 形 象 地 说 相当 于 SNMP 管理 器 提出 
了 “请 更 新 oo 的 信息 ! ”的 要 求 ，SNMP 代理 执行 之 后 则 给 出 “更 新 好 


了 1! ”的 回应 。 以 前 曾 有 系统 管理 人 员 问 笔者 “为 什么 要 更 新 呢 ? 那 不 成 了 
造假 吗 ? ”但 实际 上 ， 这 种 运作 并 不 是 用 来 造假 的 。 在 使 用 SNMP Set 的 例 
子 当 中 ， 最 容易 理解 的 就 是 关闭 端口 了 。 我 们 知道 ，SNMP 代理 保存 的 


OID 值 代 表 了 端口 的 状态 ， 


只 有 更 新 这 个 值 之 后 我 们 才能 将 端口 关闭 掉 。 


具体 步骤 和 SNMP Get 的 差别 并 不 大 ， 只 是 使 用 的 消息 不 同 而 已 。 先 是 
SNMP 管理 器 将 包含 着 OID 的 SetRequest 消息 发 给 SNMP 代理 。 
SetRequest 消息 和 GetRequest 消息 同样 以 UDP 单 播 的 形式 发 出 ， 目 的 端口 
号 也 是 161。 然 后 ，SNMP 代理 将 更 新 好 的 OID 值 以 GetResponse 消息 的 形 


式 返 回 给 SNMP 管理 器 。 


SNMP 代理 


更 新 好 了 | 


oiesporse | 一 


请 更 新 这 个 
OID 的 信 


PAE 
-El 


SNMP 管理 器 


图 5.1.14 通过 SNMP Set 更 新 OID 的 值 


al pp 站 
5 SmpfE Er a et 


versioN; v2c (1) 
Community 名 为 
已 data: set-requast (3) [以 ER 仿 | 
3 set-redquest 
request"ld: 18980 
emor-status: NoError (0) 
errorindex: 0 
E varisble"bindings: 1 tem 
BB 1.3,6,1.2:1,2.,2,1.,7,0: 
Object Name: 1,3,6,1,2,1.2,2.1.7.0 (is0,3.6,1,2,1,2,2,1,7.0) 
Value (INteger32): 2 


M010 0.49 fi 29 0000 80 1 cab ch a Ot O01 £0 58 
0020 MDE | 
Tr | 3- 


图 5.1.15 发 出 SetRequest 消息 ， 告 知 需 要 更 新 的 OID 及 其 当前 数值 
SNMP Trap 


SNMP Trap 是 告知 故障 发 生 的 运作 模式 。 形 象 地 说 就 相当 于 SNMP 代理 辣 
SNMP 管理 器 发 出 了 “oo 发 生 故 障 了 ! ”的 通知 。 这 里 请 务必 要 注意 ，SNMP 
Get 和 SNMP Set 都 是 由 SNMP 管理 器 发 出 的 通信 ， 只 有 Trap 是 由 SNMP 
代理 发 出 的 通信 


SNMP 代理 一 旦 发 现 OID 的 值 有 了 特定 的 变化 ， 就 会 断定 有 故障 发 生 ， 于 
是 向 管理 器 发 送 Trap 信息 。Trap 依然 是 以 UDP 单 播 的 形式 发 出 ， 
但 目的 端口 号 是 162。 


和 [| _ 乒 二 
发 生 故障 了 ! ll 一 
SNMP 代理 w= 
SNMP 管理 器 


图 5.1.16 通过 SNMP Trap 检测 到 故障 


使 用 UDP/162 音 插 


日 datai trap (4) 
S tap 
entarprise: 1.3.6.1.4,1.9.9.43,2 (is0,3,6,1,4,1,9,9.43,2) 
agent-eddr: 3.3,3,3 (3,3,3.3) 
gonoie: vap: enterpriseSpecific (6) 


E variable" rar 3 tems 
日 1.3;6,1,4,.1,.9.9.43.1,.1.6-1.3.13: 
Object Name: 1.3.5.1.4.1.9.9.43.1.1.6.1.3.13 (is0.3.6.1.4.1.9,9.43,1.1.6.1.3.13) 
Value (Integer32): 1 
局 1,3.6,1.4.1,9,9.43.1,1.6.1.4.13: 
Object Name: 1.3.6.1.4.1.9.9.43.1.1.6:1.4.13 (iso.3.5.1.4.1.9.9.43.1.1.6.1.4.13) 
ValuefInteger32): 2 
已 3.3.6,1.4,.1.9,9.43,1.3.6.1,5.13: 
Object Name: 1,3.6.1.4,1,9,9.43,4,1,6.1,5,13 (6o.3,5,.1.4,1.9.9.343.1.3.5.1.5.13) 
Value (Integer32): 3 


图 5.1.17 通过 SNMP Trap 告知 是 哪个 OID 发 生 了 故障 
5.1.2.3 ”限制 源 IP 地 址 


目前 ， 世 界 上 最 常用 的 SNMP 版 本 为 v2c 版 本 。v2c 并 不 具备 加 密 功 能 ， 重 

要 的 管理 信息 会 以 明文 的 形式 发 出 。 在 v2c 中 ， 唯 一 能 够 保证 数据 安全 的 
只 有 community 名 这 个 认证 口令 ， 但 信息 终究 还 不 是 以 明文 的 形式 发 出 去 

的 ， 所 以 数据 安全 是 该 版 本 的 一 个 弱项 。 


为 了 解决 这 个 问题 ， 我 们 在 使 用 SNMP 的 时 候 务 必要 限制 被 SNMP 代理 所 
允许 的 源 卫 地 址 、 即 SNMP 管理 器 的 IP 地 址 ， 以 此 来 保证 数据 安全 。 


L3 交换 机 


GetRequest 
SetRequest 


GetRequest 
SetRequest 


图 5.1.18 在 SNMP 代理 中 限制 源 IP 地 址 


5.1.3 ”用 Syslog 检测 故障 


Syslog 是 一 种 用 于 转发 日 志 消 息 的 业内 标准 管理 协议 。 网 络 设备 和 服务 器 
的 内 部 (缓存 、 硬 盘 等 ) 保存 着 很 多 记录 了 各 种 事件 的 日 志 ，Syslog 将 这 
些 日 志 转 发 给 Syslog 服务 器 ， 实 现 日 志 的 一 元 化 管理 。 在 服务 器 系统 中 ， 
Syslog 常常 和 SNMP 一 起 使 用 。 


Syslog 的 工作 原理 非常 简单 


Syslog 采用 UDP， 工 作 原理 非常 简单 易 懂 。 当 发 生 某 个 事件 的 时 候 ， 它 会 

将 该 事件 保存 到 本 机 的 缓冲 或 硬盘 中 ， 同 时 也 将 事件 转发 给 Syslog 服务 

器 。 转 发 以 UDP 单 播 的 形式 进行 ， 目 的 端口 号 为 514。 消 息 部 分 由 Facility 
(程序 模块 ) 、Severity (严重 性 ) 和 消息 本 体 构成 ， 消 息 本 体 即日 志 的 内 

容 ， 本 书 将 要 介绍 的 是 Facility 和 Severity 。 


全 站。 仅 是 接收 Syslog 
EE EE 


发 生 DO 了 |! 
一 E 
Syslog 客户 端 


Syslog 服务 器 


图 5.1.19 ”通过 Syslog 转发 日 志 


而 17 21.275700 192.168.13.3 3222 2 50160 yod SFI0d L129 (OCAL7 PRR: 32: 晤 1001533.563.. ,| 


SFrsne 17: T1259 bd Wire Co 429 > CP CE a 


B rp Se ET Te EE 6057 Te 13: 3 ey 过 2 过 FC 2.2. py 
人 es Sre Port: 62160 Ca Dst Port: ieee 


1011 1... = Er LOCAL7 ~ CS for 5 USe C23) 
1 O11 = Level:; ERR - error cornditions (3) 
Message: 32; "Mor 1 00:15;33,583; WLINK-3-UPDOWN: interfece Loopback:, changed Sate to up 


图 5.1.20 通过 Syslog 转发 日 志 消 息 
Severity 


Severity 是 表示 日 志 消 息 重 要 性 的 值 ， 分 成 0 ~ 7 共 八 个 等 级 ， 值 越 小 ， 重 
要 性 就 越 高 。 哪 个 Severity 以 上 的 消息 应 发 给 Gyelog /最少 、 哪 个 Severity 
以 上 的 消息 应 保存 到 什么 程度 (Y 省 筷 大 小 或 保存 时 间 ) ， 这 些 事项 在 设计 
的 时 候 都 必须 定义 清楚 。 例 如 , “warning 级 别 以 上 的 消息 应 发 给 Syslog 服 
务 器 ， es 级 别 以 上 的 背 息 应 保存 在 绕 生 中 (最 大 40960 字 

六 些 设备 来 说 ， 输 出 日 志 这 个 作业 本 身 可 

能 就 会 成 为 处 理 负荷 拆 以 我 们 也 要 充分 尖 虐 到 这 文 一 点 ， 合 理 调 整 
， 各 免 让 输出 日 志 成 为 处 理 负 茶 。 


表 5.1.1 Severity 的 值 表示 重要 性 的 高 低 


EEC 本 硬是 

| mm | 1 | 

EE IN 国 站 
一 
本 一 
| 
| 
| 


warnings 警告 


Facility 


Facility 表示 日 志 消息 的 种 类 ， 总 共有 24 种 ， 具 体内 容 如 下 表 所 示 。 


表 5.1.2 Facility 表示 消息 的 种 类 


Facility 


kern 


User 


代码 


解说 
内 核 消息 
任意 用 户 的 消息 


mail 


daemon 


auth 


Bp 件 系统 


sendmail、qmail 等 ) 的 消 ) 


系统 守护 进程 


(ftpd、named 等 ) 的 消 ) 


数据 安全 /认证 (login、su 等 ) 的 消 


/vv 


syslog Syslog 守 护 进程 的 消息 
lpr 行 式 打 印 机 子 系统 的 消息 
news 网 络 新 闻 子 系统 的 消息 


uucp 


cron 


auth-priv 


一 < on Cn 玉 CD [| je 
es 


UUCP 子 系统 的 消 ) 


护 进程 


时 (cron 和 at) 的 消 ) 


数据 安全 /认证 的 消息 


ftp 11 FTP 守 护 进程 的 消息 
ntp 12 NTP 子 系统 的 消息 
13 志 审 计 的 消息 
14 日 志 警 告 的 消息 


Facility 代码 解说 


二 15 


| 


时 钟 守护 进程 的 消息 


local3 19 任意 用 途 
local4 20 任意 用 途 
local5 91 任意 用 途 
local6 22 任意 用 途 


请 注意 ， 有 些 设 备 的 Facility 是 不 能 修改 的 ， 所 以 设计 时 我 们 一 定 要 仔细 确 


认 好 设备 的 规格 。 


将 消息 过 滤 后 会 更 加 容易 管理 


笔者 常 听 说 这 样 的 情 
在 系统 发 生 故 障 的 时 


况 : 在 Syslog 服务 器 的 日 刷 基 人 当中 日 志 消 息 总 是 
候 大 量 涌现 ， 结 果 导 致 管理 人 员 看 漏 了 重要 的 日 志 。 


其 实 ， 故 障 发 生 时 收 到 大 量 的 日 志 消 息 是 再 自然 不 过 的 事情 ， 而 这 种 关键 


时 刻 如 末 起 不 到 任何 


li 日 志 ， 我 们 应 通过 Severity 或 Facility 在 Syslog 服务 器 中 对 消息 


过 滤 。 


作用 ，Syslog 服务 器 也 就 毫 无 存在 意义 下 。 为 了 避免 


5.1.4 ”传递 设备 信息 
服务 器 系统 发 生 故 障 的 根源 大 多 在 物理 层 ， 所 以 我 们 必须 做 好 连接 管 


具体 六 来 ， 束 是 要 清 
管理 中 极其 重要 。 网 


楚 哪 个 端口 连 返 着 哪 台 设备 ， 这 在 服务 器 系 硫 的 运行 
络 中 有 好 几 个 能 够 查找 相 邻 设备 的 协议 ， 痢 是 我 们 管 


理 连 接 的 好 帮手 ， 比 较 有 代表 性 的 是 CDP (Cisco Descovery Protocol， 思 科 
发 现 协议 ) 和 LLDP (Link Layer Discovery Protocol， 链 路 层 发 现 协议 ) 

二 者 都 是 12 协议 ， 能 够 发 送 包 括 卫 地 址 、 机 型 和 OS 版 本 等 在 内 的 设备 信 
息 ， 让 连接 管理 变 得 轻松 起 来 。 


5.1.4.1 CDP 


CDP 是 思科 公司 独 有 的 L2 协议 。 对 设备 信息 进行 封装 处 理 时 ， 它 使 用 的 不 
是 Ethernet 中 (DIX) 规格 ， 而 是 IEEE802.3 规格 的 增强 版 IEEE802.3 with 
LLC/SNAP 。 


CDP 为 激活 状态 的 设备 在 默认 情况 下 会 每 隔 60 秒 将 一 个 CDP 帧 发 送 给 系 
统 已 占用 的 多 播 MAC 地 址 01-00-0c-cc-cc-cc。 收 到 CDP 帧 的 互 连 设备 将 其 
保存 到 缓存 中 ， 在 接 下 来 的 180 秒 之 内 如 果 没 有 收 到 对 方 发 来 的 CDP 帧 ， 
或 者 链 路 发 生 了 中 断 ， 该 设备 就 会 将 对 方 的 相关 链 路 信息 丢弃 。 


我 的 设备 信息 认识 到 与 本 机 五 连 
是 全 口 的 设备 是 已 己 
交换 机 “| CDR | wy 
AR 
EE 
缓存 人 mm | CDP 
认识 到 与 本 机 王 连 我 的 设备 信息 
的 设备 是 信人 入 是 人 和 


图 5.1.21 通过 CDP 了 解 相 邻 设备 的 信息 


I 20 24.436875 Caro E0007 COP TIO OA OD COP 49 Doce IO: sid Port ID: ETEP 一 


Q Frome 8: 449 bytason wire (3592 bts), 2443 byten captured (3592 bts) 


D5AP: SNAP (Oxaa) 
IG Bit: Indrvidual 
SSAP: SNAP (Dxasa) 
CR BR: Command 
用 Control field; UY, func=HUI (0x03) 
Organization Code; Cisco (Dx00000c) 
PID: CDP (0x2000 
VersionN: 2 
TL: 180 seconds 
国 Checksum': OxS8b5 [correct] 
BB Device ID: SW4 
半 Software Version 
四 Platform: cisco WS-C3560-8PC 
店 Addresses 
Y Port ID: FastEthemet0/1 
店 Capablilities 
Protocol Hallo: Cluster Management 
VTP Management Domain: Cisco 
加 Netive VLAN: 1 
让 Dupjiex: FU 
Trust BKmap; Ox00 
D Untrustaed port CoS: 0x00 
H Management Addresses 
用 Power Available: D mW, 4294967295 mW, 


中 oo ff55 24 77 6 72 552c 203433335353020 5380fWare，C3550SS 


图 5.1.22 ”CDP 中 包含 着 诸多 的 设备 管理 信息 
5.1.4.2 LLDP 


LLDP 是 基于 IEEE802.1ab 的 协议 ， 一 般 用 在 由 多 家 供应 商 提 供 的 不 同 品牌 
设备 所 组 成 的 环境 中 。 它 使 用 Ethernet 1 规格 对 设备 信息 进行 封装 处 理 ， 格 
式 和 CDP 有 所 不 同 ， 但 功能 基本 上 是 一 样 的。 


LLDP 为 激活 状态 的 设备 每 隔 30 秒 (推荐 秒 数 ) 将 一 个 LLDP 帧 发 送 给 系 
统 已 占用 的 多 播 MAC 地 址 01-80-c2-00-00-0e。 收 到 LLDP 帧 的 互 连 设备 将 
其 保存 到 一 个 叫 作 LLDP MIB 的 数据 库 中 管理 。 在 接 下 来 的 120 秒 之 内 如 
果 没 有 收 到 对 方 发 来 的 LLDP 帧 或 者 链 路 发 生 了 中 断 ， 该 设备 就 会 将 对 方 
的 相关 链 路 信息 丢弃 。 


我 的 设备 信息 认识 到 与 本 机 互 连 
是 OO 的 设备 是 ODO 


交换 机 | LLDP | cb 交换 机 | LLDP MIB 
LE = 
ET ES 
一 
认识 到 与 本 机 豆 连 我 的 设备 信息 
的 设备 是 AA 


图 5.1.23 通过 LLDP 了 解 相 邻 设备 的 信息 


D Frome 59: 196 he on Wire (C1568 Wts), 195 es rs ys bits) 
[S : :b6:77100:1f: 息 :00:;b6: Dst: LLDP_Multicast A 


3 i Discovery Protocol 

3 Chassis Subtype = MAC addrass, 1d; 00:1f: 和 Ee:00:;b6:40 
DB Port Subtype = Locally assigned, 1d: 1 有 有 含 着 大 下 的 
9 Time To Live = 120 sec 设 苗 管 理 信 息 
由 Port Descriptbon = 1 


3 System NamE = ProCurve Switch 25610-24/12PWR 

3 System Description = ProCurve J9086A Switch 2610-24/12PWR, revision R,11.30, ROM R.10,06 (/sw/code/byil 
9 Capobilities 

Management Address 

B 1EEE 802.3 - MAC/PHY Configuration/Status 

End of LLOPOU 


i805200000800 1 fe00 be 77588 cc 020 
+00 35 和 00b540099 02073 0602007900.,-.,.0. .,1..-X, 


N0030 EEE 251G-234712P 


图 5.1.24 LLDP 中 包含 着 诸多 的 设备 管理 信息 
5.1.4.3 ”注意 CDP 和 LLDP 的 数据 安全 问题 


CDP 和 LLDP 在 连接 管理 方面 能 够 发 挥 巨大 的 作用 ， 然 而 它们 并 不 是 

无 缺 的 。 由 于 二 者 都 是 以 明文 的 形式 发 送 设 备 管理 信息 ， 从 数据 安全 1 
度 来 看 极 易 受 到 恶意 攻击 。 因 此 ， 在 Untrust 区 段 和 DMZ 区 段 ， 我 们 最 好 
个 要 激活 这 两 个 协议 。 笔者 一 般 是 这 样 会 在 连接 设备 的 时 候 激 活 这 两 个 协 
议 ， 等 到 连接 结束 并 且 确 认 到 物理 结构 的 连接 没有 问题 之 后 就 将 它们 注 
稍 用 兴 这 种 方式 来 应 用 CDP 和 LLDP。 


总 之 ， 进 行 设计 的 时 候 ， 我 们 首先 应 该 决定 是 否 需要 激活 查找 相 邻 设备 的 
协议 。 如 果 需 要 ， 那 么 接 下 来 就 要 明确 两 个 事项 : 应 激活 哪 一 个 协议 以 及 


在 哪里 激活 〈 用 在 何 处 ) 。 间 隔 时 间 (发 送信 息 的 间隔 ) 和 Hold 时 间 (经 
过 多 长 时 间 之 后 丢弃 信息 ) 一 般 无 需 变 更 。 


5.2 ”管理 设计 


从 本 节 开 始 ， 将 全 讲 述 运行 管理 村 术 ， 而 是 介绍 一 些 偏 管理 方面 的 设计 
事项 。 内 容 会 稍微 开 态 一点， 但 对 今后 的 工作 是 大 有 神 益 的 ， 建 议 大 家 对 


5.2.1 ”确定 主机 名 


主机 名 定义 了 了 地 点 、 设 备 以 及 设备 承担 的 角色 等 标识 符 ， 必 须 让 人 一 看 
就 慌 才 行 。 有 些 设备 规定 主机 名 中 不 能 使 用 特殊 字符 或 者 必须 使 用 
FQDN， 对 于 这 些 限制 ， 我 们 一 定 要 预先 确认 好 。 在 定义 主机 名 时 有 两 个 要 
扩容 易 被 忽视 ， 那 就 是 位 数 和 称呼 。 


在 大 规模 的 网 络 环境 中 ， 人 们 常常 会 利用 Tera Term 或 Excel 的 宏 处 理 等 自 
动 形成 主机 名 。 主 机 名 的 位 数 如 果 一 致 ， 宏 的 制作 就 会 相对 简单 一 些 ， 可 
以 省 去 很 多 不 必要 的 人 作业。 此外， 称呼 也 是 一 个 容易 被 人 们 忽视 的 要 点 。 
主机 名 中 包含 着 各 种 各 样 的 标识 符 ， 理 解 不 够 充分 的 话 很 容易 看 得 晕 头 转 
回 。 所 以 ， 我 们 应 定义 和 主机 名 一 致 的 称呼 ， 这 样 在 谈论 相关 话题 或 编写 
文档 等 情况 下 就 不 会 弄 混 了 ， 可 谓 好 处 多 多 


5.2.2 ”通过 标签 管理 连接 


J 胃 定 义 标签 ， 就 是 规定 在 什么 地 方 贴 什么 样 的 标签 ， 这 在 管理 设计 中 是 
个 非常 重要 的 环节 。 你 可 能 会 想 " 啊 ? 标签 ? 封条 ?能 起 多 大 的 作用 

呵 ? ， ' 王 万 别 小 看 一 枚 小 小 的 标签 ， 它 的 作用 可 大 着 呢 。 系 统 发 生 故 障 的 时 
候 ， 我 们 需要 立即 知道 是 什么 地 方 的 哪 台 设 备 出 了 问题 ， 而 这 个 小 小 的 标 
签 就 能 帮 上 我 们 的 大 忙 ″。 


和 有 些 网 络 环境 可 能 不 允许 使 用 标签 。 遇 到 这 种 情况 时 应 和 系统 管理 人 员 
坚决 


5.2.2.1 ” 线 缆 标签 


这 里 说 的 线 缆 不 光 是 LAN 线 缆 ， 还 包括 电源 线 缆 、 用 于 SAN 的 光纤 光线 
等 服务 妖 端 的 所 有 线 统 。 对 于 这 些 线 绕 ， 我 们 要 定义 它们 应 各 目 使 用 哪 一 
种 标签 以 及 要 标注 什么 内 容 。 


定义 的 办 法 有 很 多 种 ， 如 果 在 现 有 的 其 他 系统 中 也 用 到 了 标签 ， 我 们 不 妨 
直接 取经 ， 以 该 系统 中 的 定义 为 准 。 一 般 来 说 ， 人 们 大 都 会 使 用 过 塑 类 型 


的 标签 或 圆 形 标签 ， 在 标签 上 注 明 连接 源 设 备 和 连接 目的 设备 的 主机 名 和 
端口 号 。 


一 般 多 使 用 过 塑 类 型 的 
标签 或 圆 形 标签 


J 连接 涯 设 第 的 主机 名 和 应 口号 有 
连接 目的 设备 的 主机 名 和 端口 号 
图 5.2.1 ”定义 线 缆 标 签 的 种 类 和 标注 的 内 容 


5.2.2.2 ”本 体 标签 


我 们 对 贴 在 设备 本 体 上 的 标签 也 应 做 出 定义 ， 定 义 将 它们 贴 在 哪里 以 及 标 
注 些 什么 内 容 。 本 体 标签 同样 有 多 种 定义 的 办 法 ， 如 果 在 现 有 的 其 他 系统 
中 也 用 到 了 标签， 我 们 不 妨 直接 取经 ， 以 该 系统 中 的 定义 为 准 。 有 些 管理 
人 员 会 对 本 体 标 签 中 的 字体 大 小 比较 介意 ， 我 们 最 好 详细 征询 一 下 他 们 的 
意见 。 一 般 来 说 ， 设 备 本 体 的 正 、 反 面 都 应 贴 上 标 有 主机 名 的 标签 。 


5.2.3 ”设计 密码 


在 管理 设计 中 ， 我 们 还 要 为 设备 定义 其 专用 密码 。 无 论 放置 设备 的 数据 中 
心 建 得 有 多 么 固 若 金 淘 ， 如 果 我 们 将 设备 密码 随便 地 设 成 “<password”， 那 么 
数据 安全 依然 无 从 谈 起 ， 因 为 这 种 密码 毕竟 只 是 虚 张 声势 的 纸老虎 而 已 。 
根据 信息 安全 认证 规格 ISMS (Information Security Management System， 信 
息 安全 管理 体系 ) 的 规定 ， 好 的 密码 必须 具备 以 下 几 个 条 件 。 


1) 容易 记忆 。 


2) 他 人 很 难 从 本 人 的 相关 信息 (如 名 字 、 电 话 号 码 、 生 日 等 ;中 推测 或 
获取 该 密码 。 


(3) 经 得 住 字典 式 攻击 ( 即 无 法 从 字典 中 包含 的 单词 或 短语 破解 密码 ) 。 
(4) 不 是 重复 同样 的 文字 ， 不 仅 是 数字 或 字母 的 长 串 罗 列 。 


如 有 果 并 不 需要 获得 ISMS 认证 ， 我 们 大 可 不 必 严 格 遵 守 上 面 的 条 件 。 不 过 ， 
至 少 我 们 应 该 避免 将 密码 设置 成 用 户 能 够 轻易 想到 的 内 容 。 有 些 设备 可 以 
在 浏览 层面 和 设置 层面 分 别 设置 几 个 不 同 的 密码 ， 对 这 样 的 设备 ， 我 们 绝 
不 能 图 省 事 而 都 设 成 完全 一 样 的 密码 ， 否 则 分 层 管理 就 形同虚设 。 所 以 我 
们 千 万 不 能 偷懒 ， 一 定 要 给 不 同 的 县 徊 分 别 设置 不 同 的 密 码 才 行 。 


苹 


5.2.4 ”管理 设置 信息 


应 如 何 备份 网 络 设备 的 设置 信息 、 又 应 如 何 将 它们 还 原 ， 这 也 是 管理 设计 
的 一 项 重要 内 容 。 人 们 往往 十 分 重视 服务 着 的 备份 和 恢复 ， 对 网 络 设备 的 
备份 和 恢复 却 没有 足够 的 关注 。 然 而 ， 网 络 设备 的 设置 信息 承载 着 整个 系 
统 的 根基 和 主干 ， 其 重要 性 绝 不 亚 于 服务 器 中 的 同类 部 分 。 因 此 ， 对 于 网 
络 设备 的 设置 信息 ， 我 们 一 定 要 明确 定义 应 在 何 时 、 何 处 、 怎 样 地 去 进行 
备份 和 恢复 。 


5.2.4.1 在 备份 设计 中 应 定义 时 机 、 方 式 和 保存 地 点 


进行 备份 设计 是 要 把 握 时 机 、 方 式 和 保存 地 点 这 三 个 要 点 ， 
明 一 下 这 三 个 要 点 。 


在 修改 设置 之 前 备份 


网 络 设备 的 备份 不 同 于 服务 器 的 备份 ， 人 们 一 般 很 少 会 去 定期 执行 。 当 
然 ， 我 们 可 以 通过 专用 的 管理 工具 去 定期 执行 备份 。 最 近 ， 也 可 以 利用 网 
络 设备 中 的 cron3 功能 定期 安排 备份 了 。 不 过 在 大 多 数 情况 下 ， 人 们 都 是 在 
修改 设置 之 前 去 备份 的 。 


3 cron 是 一 种 能 够 定期 执行 job 的 功能 。 
为 不 同 的 设备 定义 不 同 的 备份 方式 


设备 不 同 ， 备 份 方式 忠 会 有 所 不 同 。 有 些 设备 甚至 专门 配置 了 生成 备份 文 
件 用 的 染 单 ， 足 见 差 别 之 大 。 所 以 ， 我 们 务必 仔细 确认 需要 备份 什么 信息 
以 及 通过 什么 协议 去 执行 备份 ， 针 对 不 同 的 设备 定义 不 同 的 备份 方式 。 


定义 将 备份 文件 保存 到 什么 地 方 


我 们 还 必须 定义 应 将 备份 文件 保存 到 哪里 。 如 果 将 每 台 设 备 的 备份 文件 都 
保存 到 不 同 的 地 方 就 毫 无 统一 性 可 言 了 ， 只 会 引起 管理 上 的 混乱 。 
我 们 还 要 注意 备份 文件 名 的 格式 ， 同样 ， 如 果 各 自 使 用 不 同 的 格式 就 会 

乱 无 章 ， 导 致 我 们 会 连 最 基本 的 设备 设置 时 间 都 无 从 得 知 。 总 而 言 之 ， 
个 方面 我 们 都 必须 进行 统一 的 规划 ， 保 持 管理 的 统一 性 。 


面 就 简单 说 
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系统 管理 人 员 
A 


0 

Ee 

EE 
: 


误 iB 
I3_20140101_01.txt 


设置 信息 
fw 20140101_O1.txt 


设 先 信息 
Ib_20140101_01,ucs 


如 何 生成 备 从 文件 


图 5.2.2 ”在 备份 设计 中 定义 备份 的 时 机 、 方 式 和 保存 地 点 


5.2.4.2 ”发 生 故 障 时 执行 恢复 处 理 


和 服务 器 的 恢复 处 理 一 样 ， 网 络 设备 的 恢复 处 理 也 是 在 发 生 故 障 时 执行 
的 。 至 于 采用 什么 恢复 方式 则 和 备份 一 样 取决 于 设备 本 身 。 我 们 要 预 移 确 
认 各 种 设备 分 别 应 该 采取 怎样 的 恢复 方式 ， 然 后 明确 做 出 定义 。 对 茶 些 设 
备 来 说 ， 在 发 生 故 障 的 时 候 与 其 执行 恢复 处 理 ， 还 不 如 直接 重新 设置 。 对 
于 这 样 的 设备 ， 我 们 应 将 其 作为 例外 单独 定义 。 总 而 言 之 ， 在 恢复 处 理 的 
设计 中 ， 系 统 快速 起 死 回 生 的 命 门 掌握 在 清晰 明确 的 各 种 定义 当中 。 


文件 服务 器 


负载 均衡 器 
= 


图 5.2.3 发 生 故 障 时 执行 恢复 处 理 


看 完了 


如 果 您 对 本 书 内 容 有 疑问 ， 可 发 邮件 至 contact@turingbook.com， 会 有 编辑 
或 作 译 者 协助 答疑 。 也 可 访问 图 灵 社 区 ， 参 与 本 书 讨论 。 


如 果 是 有 关 电 子 书 的 建议 或 问题 ， 请 联系 专用 客服 邮箱 : 


ebook@turingbook.com ° 
在 这 里 可 以 找到 我 们 : 


微 博 @ 图 灵 教 育 : 好 书 、 活 动 每 日 播报 
微 博 @ 图 灵 社 区 : 电子 书 和 好 文章 的 消息 
微 博 @ 图 灵 新 知 : 图 灵 教 育 的 科普 小 双 
微 信 图 灵 访 谈 : ituring_interview， 讲 述 码 农 精彩 人 生 
微 信 图 灵 教 育 : turingbooks 
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